Networkforensic

Threat hunting

 Windows Subsystem for Linux - WSL monitor

 16 August 2024  - Blog Post # 867

WSL
WSL er efterhåden ikke noget nyt man kan i windows. Udfordringen med overvågning af denne er næsten det samme som med VM hosts, at de kan være svære at overvåge. Men med Symon kan man komme en stor del af vejen. I min Sysmon config er det noget der har har været tilgængeligt i et par år efterhånden. Men i forbindelse med Defcon lige har rullet er det blevet noget der er kommet lidt fokus på, som noget helt vildt nyt og vildt, hvilket det ikke er. Man kan desuden med min config holde øje med alle viretuelle maskiner der bliver installeret og startet og hvor de forbinder sig til.

En simpel søgning der kan bruges er
(event_data.RuleName:"technique_id=T1059,technique_name=LOLBAS Command-Line Interface - cmd" AND event_data.CommandLine: *install) OR event_data.RuleName:"technique_id=T1105,technique_name=LOLBAS Ingress Tool Transfer - Wsl" OR event_data.RuleName:"technique_id=T1202,technique_name=LOLBAS Indirect Command Execution - Wsl"



Opdateret config og Sysmon 15.15 frigivet.
Jeg har desuden fået frigivet opdateret installationer til Sysmon 15.15 med config 51.
Alt er gratis...

Happy hunting.....

 SNORT
NF IDS Rules

Latest Updates

Test rules update

Radius servers

Kerio Crash FTP

Kerio crash Domain

Zendesk Crypto mining

Russian RMS Agent

Download   
 

 Suricata
NF IDS Rules

3 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download

Sysmon Config
 3
Latest Updates

Version 15.15 Config 53

Download