miércoles, 10 de junio de 2020

Detectar y esconder Sysmon


Estimados amigos de Inseguros !!!

De todos es sabido que Sysmon es una pieza fundamental para la monitorización de los sistemas Microsoft, pero es una pieza muy importante que debemos defender ya que los atacantes lo saben, y lo primero que harán será detectar el uso de la herramienta, para saber si pueden hacer más o menos ruido.


Una de las primeras cosas en un ataque o auditoria es evaluar las medidas defensivas del cliente/objetivo. Si tiene servicios defensivos complejos deberás ser más caúto y sobre todo lento en los reconocimientos y explotación de activos que si es un equipo que huele a siguiente, siguiente, siguiente. 

Lo primero que debemos saber es que por defecto si no renombramos el fichero de instalación de sysmon, se instalará en una rama tanto el binario como un driver con unos nombres predecibles, sysmon y sysmondrv. 

Si un atacante busca procesos corriendo, servicio o rama de registros relacionada con Sysmon detectaría el uso.

Tenemos la opción de cambiar el nombre del instalador e indicar el nombre del driver así:

carbonblack( o el nombre que quieras).exe -i -d carbonblack


Aparte de este pequeño hack, tenemos que ser consciente de que el driver se instala con un identificador o altitude único, un identificador que usa Microsoft para imponer un orden a la hora de ejecutar drivers en la pila de almacenamiento. Siempre es el mismo 385201. 

Podemos listarlo con el siguiente comando:

C:\Windows\system32>fltmc

Nombre de filtro                     Núm. instancias    Altitud    Trama
------------------------------  -------------  ------------  -----
DfsDriver                               0       405000         0
SysmonDrv                               5       385201         0
vsepflt                                 5       328200         0
WdFilter                                5       328010         0

Con este comando también podríamos deshabilitarlo...

Por lo tanto, si sabemos cambiarle el nombre en la instalación y sabemos cambiar el número de altitude...


Poco más que decir. Otras herramientas usan altitude conocido como procmon que siempre usa 385200...

En fin, espero que te guste la idea de usar sysmon, si ataques ya sabes como buscarlo, si defiendes como esconderlo... y así hasta el infinito.

Espero que os guste !!!