Sysmon: ProcessGUIDs, ParentProcessGUIDs, LogonGUIDs extrahieren

Wie kann man die von Sysmon ermittelten Daten wie ProcessGUIDs, ParentProcessGUIDs, LogonGUIDs extrahieren? Jemand hat ein kleines PowerShell-Script geschrieben. Vielleicht für den einen oder anderen Leser interessant.


Anzeige

Gut, es ist etwas esoterisch, auf was ich gerade gestoßen bin. In den Sysinternals-Tools gibt es das Programm Sysmon, welches vor einigen Tagen sogar ein Update erhalten hat (siehe Sysinternals: Sysmon V8.0, Autoruns V13.90).

Was ist Sysmon?

System Monitor (Sysmon) ist ein Windows-Systemdienst und Gerätetreiber, der nach der Installation auf einem System über Systemneustarts hinweg resident bleibt, um die Systemaktivität zu überwachen und im Windows-Ereignisprotokoll zu protokollieren. Das Tool liefert detaillierte Informationen über die Erstellung von Prozessen, Netzwerkverbindungen und Änderungen der Dateierstellungszeit. Administratoren können die Ereignisse, die mit Hilfe von Windows Event Collection oder SIEM-Agenten erzeugt werden, sammeln und anschließend analysieren. Damit lassen sich bösartige oder anomale Aktivitäten erkennen und verstehen.

Parent- u. ProcessGUIDs, LogonGUIDs extrahieren

Matt Graeber, seines Zeichens Sicherheitsspezialist wollte genauer wissen, wie Sysmon Werte wie ProcessGUIDs, ParentProcessGUIDs und die LogonGUIDs ableitet, wie er auf Twitter schreibt.

Seine Motivation dafür war, dass er die Daten außerhalb von sysmon für Korrelationszwecke benötigte. Er wollte beurteilen, inwieweit ein Angreifer die GUIDs beeinflussen kann.

Also hat er ein wenig gegraben und einen, wie er schreibt, schnellen und schmutzigen Parser entwickelt, um die eingebetteten Daten innerhalb der GUIDs zu extrahieren. Der PowerShell-Code ist auf GitHub abrufbar. Dieser gewährt einige Einblicke in die Windows-Interna. Und wie er ergänzt, weiß er nun auch, dass der erste Teil der GUID persönlich identifizierbare Informationen enthält.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Tipps, Windows abgelegt und mit Sicherheit, Tipp, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.