image.png
准备文件落地的监控,我们需要依赖于SYSMON或者其他EDR系统来进行,本文为了统一性,仅采用SYSMON作为阐述的工具,在这里,我们就需要利用到SYSMON的事件来进行监控,在Sysmon事件ID 11 (FileCreate)中,当创建或覆盖文件时,会记录文件的创建和创建文件的进程的信息。这个事件对于监视启动文件夹、临时目录和下载目录等位置非常重要,这些位置通常是恶意软件在初始感染期间放置的地方。(关于具体如何使用SYSMON,本文不再赘述,请自行查阅相关文档)为了针对微信文件传输进行监控,我们还需要在配置文件中添加监控标签,因为微信存储在WINDOWS中的路径由用户属性组成,所以,这里仅需记录“wxid_”就已经足够。
image.png
当发起文件传输的时候,SYSMON就会记录该文件创建事件
image.png
值得注意的是:如果系统中存在反病毒或者EDR的微过滤驱动,且拥有更小的Altitude值时,并且它检测到恶意文件并阻止其写入磁盘后,SYSMON将不会再记录该事件。
image.png
文件创建事件写入日志后,如果具备大型日志平台的企业,可以通过日志收集工具将主机端的SYSMON日志通过SYSLOG的方式传输到后台日志平台,比如ELK和SPLUNK等,拥有日志平台的企业就可以通过自定义查询实现更进一步的筛查和跟进。
