最近研究了一下恶意DNS请求,调研了sysmon,发现win7下有坑,据说需要win8以上系统,然后也支持ubuntu 18以上系统,但是也有很多坑。为了避免掉进坑里,我使用win10虚拟机,这是我苹果电脑下创建的第5个虚拟机了。监控DNS请求,然后匹配情报,再对进程进行隔离,这不就是简单的终端安全管理吗?
这里安装
sysmon.exe -i
最关键的是DNS监控的配置文件[1]了
sysmon.exe -c sysmonconfig-export.xml
然后去【控制面板系统和安全管理工具事件查看器应用程序和服务日志MicrosoftWindowsSysmon】里面查看DNS记录,记住这里事件ID是22,这里我们请求谷歌,可以找到请求的进程~
日志路径如下:
%SystemRoot%System32WinevtLogsMicrosoft-Windows-Sysmon%4Operational.evtx
当我打开的时候,发现并不是文本文件,幸运的是,我发现有python解析库(python-evtx),我们需要提取域名和进程,不过这都是后话了。
