image.png
检测我们这里假定企业暂时不具备集中化的日志管理平台,可以通过使用Powershell语句查询SYSMOM关联日志,比如:
Get-WinEvent -LogName 'Microsoft-Windows-Sysmon/Operational' -FilterXPath "*[System[(EventID=11)]]" -Oldest -MaxEvents 10 | Select-Object TimeCreated, ID, ProviderName, LevelDisplayName, Message | where message -match 'wxid_' | Format-List
image.png
如上所述,SYSMON的文件创建事件并不具备获取文件哈希的能力,所以我们还需要自行获取文件的哈希
Get-FileHash "C:\Users\XXX\WeChat Files\wxid_XXXX\FileStorage\MsgAttach\820e7XXXXXXXXXfe490\File\2022-10\简历.zip"
image.png
提取到文件哈希后,我们可以提交到VirusTotal或者其他的威胁检测平台进行哈希扫描,从而获得初步的文件标签信息。或者将该文件通过API提交给VT或者内部自建的沙箱平台进行检测,如果该文件为压缩包文件,且设置了密码加密的文件,取决于企业的不同的安全策略,可以针对性的实施包括工单报警,人工检查,或者直接删除等操作。
image.png
如果我们依然不具备集中管控平台,也没有办法进行日志集中化采集,其实我们也可以考虑在本地进行采集,过滤和提交,利用Windows本身自带的任务计划程序,我们亦可以通过触发SYSMON的文件写入条件来执行Powershell或者其他脚本命令,后续大家可以执行扩展一下。
