最近研究了一下恶意DNS请求,调研了sysmon,发现win7下有坑,据说需要win8以上系统,然后也支持ubuntu 18以上系统,但是也有很多坑。为了避免掉进坑里,我使用win10虚拟机,这是我苹果电脑下创建的第5个虚拟机了。监控DNS请求,然后匹配情报,再对进程进行隔离,这不就是简单的终端安全管理吗?
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
这里安装
sysmon.exe -i最关键的是DNS监控的配置文件[1]了
sysmon.exe -c sysmonconfig-export.xml然后去【控制面板\系统和安全\管理工具\事件查看器\应用程序和服务日志\Microsoft\Windows\Sysmon】里面查看DNS记录,记住这里事件ID是22,这里我们请求谷歌,可以找到请求的进程~
日志路径如下:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx当我打开的时候,发现并不是文本文件,幸运的是,我发现有python解析库(python-evtx),我们需要提取域名和进程,不过这都是后话了。
参考^配置文件 https://github.com/ion-storm/sysmon-config/blob/master/sysmonconfig-export.xml