Sysmon – Windows Systemaktivitäten überwachen und protokolieren

Unlängst stellten wir bei einem Blue Shield Umbrella Proof of Concept Ransomware Aktivitäten mit Trickbot fest - wir berichteten hier.

Soweit so gut, die Ransomware konnte nicht aktiv werden, da die Aktivitäten durch Blue Shield Umbrellageblockt wurden. Dennoch, etwas befand sich im Netzwerk, was wir letztendlich lokalisieren mussten, um etwaige Folgeschäden vorzubeugen. Blue Shield gab uns über das Dashboard die Auskunft, um welche Clients und Benutzer es sich handelte - dies erleichterte die Analysen schonmal erheblich. Allerdings gestaltete sich "die Suche nach dem Wirt" schwierig, da man nur mutmaßen konnte, ob der Auslöser durch eine Webseite, eine Datei oder ähnliches verursacht wurde.

Somit hat unser CTO - Christoph Wieser - vorgeschlagen, Sysmon auf den Clients zu aktivieren.

Sysinternals Sysmon ermöglicht das Überwachen und Protokollierensämtlicher Windows Systemaktivitäten, wie das Starten von Prozessen, die Installation von Treibern, Veränderungen an Systemdateien, Netzwerkverbindungen usw. Sysmon kann somit bspw. für forensische Analysen hilfreich sein, wenn am Client entsprechende Vorgänge wie bspw. DNS Requests mitgeloggt werden. So kann anschließend eine Beziehung zum jeweiligen Prozess hergestellt werden.

Das folgende Setup empfehlen wir generell, vor allem jedoch für Blue Shield Umbrella Kunden:

Installation von Sysmon mit entsprechender Sysmon-Konfig (Vorschlag Konfig File: ".txt auf .xml" umbenennen ;-))

sysmon.exe -accepteula -i sysmonconfig.xml

Nun speichert Sysmon im Event-Log unter („Anwendungs- und Dienstprotokolle“ -> „Microsoft“ -> „Windows“ -> „Sysmon“) die Logs laut Setup. Zusätzlich sollte der Speicher für das Windows Event-Log erhöht oder auf zentralem Log-Management abgelegt werden. Thats it, rock n roll... happy huting!