16 August 2024 - Blog Post # 867
WSL
WSL er efterhåden ikke noget nyt man kan i windows. Udfordringen
med overvågning af denne er næsten det samme som med VM hosts, at de
kan være svære at overvåge. Men med Symon kan man komme en stor del
af vejen. I min Sysmon config er det noget der har har været
tilgængeligt i et par år efterhånden. Men i forbindelse med Defcon
lige har rullet er det blevet noget der er kommet lidt fokus på, som
noget helt vildt nyt og vildt, hvilket det ikke er. Man kan desuden
med min config holde øje med alle viretuelle maskiner der bliver
installeret og startet og hvor de forbinder sig til.
En simpel søgning der kan bruges er
(event_data.RuleName:"technique_id=T1059,technique_name=LOLBAS
Command-Line Interface - cmd" AND event_data.CommandLine: *install)
OR event_data.RuleName:"technique_id=T1105,technique_name=LOLBAS
Ingress Tool Transfer - Wsl" OR
event_data.RuleName:"technique_id=T1202,technique_name=LOLBAS
Indirect Command Execution - Wsl"
Opdateret config og Sysmon 15.15 frigivet.
Jeg har desuden fået frigivet opdateret installationer til Sysmon
15.15 med config 51.
Alt er gratis...
Happy hunting.....
SNORT
NF IDS Rules
Latest Updates
Test rules update
Radius servers
Kerio Crash FTP
Kerio crash Domain
Zendesk Crypto
mining
Russian RMS Agent
Download
Suricata
NF IDS Rules
3 Latest Updates
BIMP-BotNet
Remcos-RAT
IOT-Password Attacks
Download
Sysmon
Config
3 Latest Updates
Version 15.15 Config 53
Download