重大更新:微软发布具有DNS查询日志记录功能的Sysmon,并修补21个严重安全漏洞

释放双眼,带上耳机,听听看~!

微软每月安全更新日一到,总得炸锅,先来看看实用类的安全工具

系统监视器(Sysmon)是一种Windows系统服务和设备驱动程序,一旦安装在系统上,就会在系统重新启动时保持驻留状态,以监视和记录系统活动到Windows事件日志中。

它提供有关进程创建,网络连接,文件创建时间更改等详细信息。


通过使用Windows事件收集或SIEM代理收集它生成的事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在用户网络上运行。

 

需要注意的是,Sysmon不会对其生成的事件进行分析,也不会尝试保护自己免受攻击者攻击,因此仅作为监控工具而存在,允许其监视计算机上的某些活动并将其记录到Windows事件查看器。

 

而就在周二,微软发布了Sysmon 10,并带来了备受期待的DNS查询记录功能。此功能将允许Sysmon用户在受监视的计算机上记录进程所执行的DNS查询。

 

这对于全球安全分析人员和Windows管理人员无疑是一则特大喜讯。

 

下载Sysmon 10可以访问Sysinternal页面或从

https://live.sysinternals.com/sysmon.exe直接下载。下载后,需要通过具有管理员权限的命令行运行程序。


下面为启用DNS查询日志记录的基本配置文件示例。如果尚未安装sysmon,则可以使用sysmon.exe -i config.xml安装此配置文件,如果已运行,则使用sysmon.exe-c config.xml安装


更多事件过滤可参考下表:

 

使用上述配置文件启动Sysmon后,它将开始将DNS查询事件记录到事件查看器中的应用程序和服务日志/Microsof /Windows/Sysmon/Operational

 

下面为程序访问Virustotal等网站时执行DNS查询的示例,由此便可以看出,这对于排查本机是否有程序恶意外连具有极大的帮助。

 

本次版本除了DNS事件外,还新增了ProcessCreateEventID-1)和ImageLoadedEventID-7)事件中的OriginalFileName,且EventType也添加至命名管道事件(1718),同样需要留意。

 

需要深入了解和下载64Sysmon请移步官方链接

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

 

使用预制的Sysmon配置文件来检测恶意流量和威胁可参考以下github

https://github.com/SwiftOnSecurity/sysmon-config

 

参考链接:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-sysmon-10-with-dns-query-logging-feature/

本月微软补丁日,除了公布sysmon新功能外,还修复了88个安全漏洞,其中21个获得了“严重”评级。


此外,2019年5月的补丁星期二还包括五个0day中的四个的修复,由安全研究员SandboxEscaper曝光。

由于SandboxEscaper仅在上周6月7日星期五公布了有关此漏洞的详细信息,因此未能及时准备第五个0day的修复程序,因此微软没有时间整理并测试补丁。

此外,在本月修补的所有88个漏洞中,没有一个在野外被利用。



补丁更新连接:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/253dc509-9a5b-e911-a98e-000d3a33c573

其中,最火的,莫属Windows NTLM认证漏洞CVE-2019-1040

声称最严重危害为:通过利用该漏洞,攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。


该漏洞存在于Windows操作系统中,攻击者利用此漏洞可绕过NTLM MIC的防护机制。

NTLM relay是域环境下的一种攻击手段,针对这种攻击技术Windows采用签名机制进行防护。为了确保 NTLM 协商阶段不会被攻击者篡改, Windows在NTLM身份验证消息中添加了一个附加字段,即MIC,但是利用此漏洞可导致该字段无效,从而绕过MIC防护机制。

漏洞详情:

https://blog.preempt.com/security-advisory-critical-vulnerabilities-in-ntlm

最后,还有一个趣闻,谷歌漏洞研究员发现了SymCrypt,即Windows的核心加密库中的可被拒绝服务(DoS)攻击的漏洞,对windows 服务器集群有很大杀伤力。但是并没有出现在本次的漏洞修复中。

相关链接:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1804



感谢关注转发点赞

上期看点

关于伊朗黑客组织污水的相关成员追溯分析报告

扫码加入每日更新的知识星球,打开威胁情报世界大门原价299,现价269

赞一个续一年,最近身体不太好

本文源自微信公众号:黑鸟

人已赞赏
安全工具

最新版火狐远程DoS漏洞,亲测成功​(求关注,良心推送)

2019-10-16 10:45:40

安全工具

引导舆论导向?伊朗组织通过伪造虚假新闻网站进行宣传和洗脑

2019-10-16 10:45:58

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索