Surveillance des exploits

Dans le dernier article, nous avons collecté des données afin de surveiller l'exploitation d'une vulnérabilité dans Windows Server, qui a le rôle de contrôleur de domaine. Dans cet article, nous allons essayer de comprendre s'il est possible de surveiller d'autres classes d'exploits à l'aide des outils ELK, Zabbix ou Prometheus.

Exploiter la classification du point de vue de la surveillance

- . .

? . №1 :

1. 
   
   
   
   

2. 
   
   
   
   

, .

ELK, Zabbix Prometheus. .

. , . , . .

.

№2 - - 699. , , 699 .

699 ? , . , CWE-120. , , . . .

, . , .

? . . VMMap. , , , .. ?

, . 699 , . , , , . :

• ,

  
  
  
  
  

• 
  
  
  
  

Mitre

. . , , .

CVE-2020-1472 Microsoft , , . . .

CVE-2020-0796. - , . 2 :

1. Remote Code Execution

   
   
   
   
   

2. Local Priveledge Escalation

   
   
   
   
   

, . - , -.

. github C++. , .

:

loopback 445 . . , primary . cmd.exe. ? :

, , . "Security" . ? 2 :

1. IDS loopback

   
   
   
   
   

2. Endpoint

   
   
   
   
   

3- . Windows , . SysMon. , , . . loopback , :

...
<RuleGroup name="" groupRelation="or">
        <NetworkConnect onmatch="exclude">
            ...
            <DestinationIp condition="is">127.0.0.1</DestinationIp> <==
            <DestinationIp condition="begin with">fe80:0:0:0</DestinationIp> <==
        </NetworkConnect>
    </RuleGroup>
...

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

. Windows 10 : Applications and Services Logs\Microsoft\Windows\Sysmon\Operational.

Sysmon :

sysmon.exe -accepteula -i sysmonconfig-export.xml
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Sysmon:

, . Zabbix. . , .

P.S. Linux SysMon.