Networkforensic
Threat hunting
Sysmon
28 Marts 2026 - Blog Post # 889
Sysmon
I forbindelse med at Sysmon er blevet native i Windows, som
et standard tool der nu kan installeres, sker der mange ting i
øjeblikket på den front. Der er lige blevet frigivet
Sysmon 15.20 via Sysinternals. Det er mere målrettet systemer
der kører ældre end Windows 11 og Server 2025. Jeg anbefaler klart
at siden der er opdateret til schemaversion version 4.91, at man får
opdateret sine Sysmon installationer til 15.20. Jeg er slev stoppet
med at vedligeholde ældre versioner en 4.91.
Optimeringer og fejlrettelser
Der er lidt fejl rettelser og optimeringer i "event køen"
Der er fokus på stabilitet og hastigheder.
Detections
Her er det lidt mere spændende. Jeg er selv kæmpe fan af generiske
detection, der gør at meget kan fanges med config filerne uden det
behøver at være vildt målrettet. Der er også meget der eks er rigtig
målrettet til forskellige hacker teknikker der benyttes. Her er det
lidt et spil, for man kan hurtig lave en config der bare kigger på
alt og sender alt til et SIEM. Men det kan være en meget bekostelig
affære, for det er ikke billigt med den tilgang. Så det skal være
mere oprimeret. Så det er en balance imellem detections på hvad er
vigtigt at kigge efter og hvor får man mest ud af sine logs.
Metodikker
Jeg har selv fokus på metodikker som
autoruns teknikker,
MITRE,
LOLAPPS,
LOLBAS
og LOLDRIVERS.
Samt en del teknikker der faktisk ikke er beskrevet laver jeg også
en del detections på.
Remote admin tools
For lang tid siden begyndte jeg kigge på de mest misbrugte remote
admin tools. Ofte er de misbrugt i forbindelse med GUI adgang til
hacket udstyr. Til en håndfuld og de mest benytte, har jeg lavet
detection som allerede er i Sysmon Config filen. En projekt her jeg
er helt vild med er LOLRMM De har
støvsuget alt hvad der findes at remote admin tools derude og samlet
de i en config fil. Det er blevet til en
config fil på godt 12.000 linjer kode, kun fokuseret på remote
admin værktøjer. Der findes desuden
plugin til Splunk til netop LOLRMM tools man kan benytte, som
nok ville være foretrukket for de fleste der har Splunk. Her kræver
det at ens config fil er mere generisk og kan fange disse tools uden
målrettet detection.
Det er super super nice at man kan finde alle dem der benytter
uautoriseret remote værktøjer i ens
infrastruktur. For der er rigtig mange der gør det. Her snakker jeg
af erfaring på det jeg selv har set igennem tiden. Desuden finder
man også tit hacket udstyr.
Så min klare anbefaling er tag endelig et kig på
LOLRMM. Det er
rigtig god detection.
Jeg tror ikke jeg lige vil hive alt det her detection direkte ind i
Sysmon. Her ville jeg ende på over 17.000 linjer kode i en sysmon
config fil. Det er helt sikkert det godt kan give noget negativ
impact på hastigheder på endpoints. Men at vælge ting, man har set
eller kender til fra egen infrastruktur eller andre incidents, der
ville jeg klart hive dem ind og bruge dem.
Sysmon Native
24 Marts 2026 - Blog Post # 888
Sysmon Native
I Windows 11 25H2 (Server 2025) er
Sysmon blevet native. Det betyder flere ting. Man skal ikke
længere selv sørge for at vedligeholde Sysmon versioner. Det vil
blive opdateret via Windows Update systemet fremover. Man skal
stadig selv sørge for en Config fil man ønsker. Man skal også sørge
for at have en nem måde løbende at få opdateret sine config filer...
Installation
Jeg har lavet en installations vejledning til Sysmon Native på
Windows 11 man kan benytte for at komme igang med Sysmon.
Kan hentes
her. Samt der er vejledning til at få sine config filer
automatisk opdateret med de Sysmon
Config jeg frigiver.
Bemærk
Jeg oplever forskellige udfordringer med opdateringen
2026-03 Update (KB5085516) (26200.8039) som er den opdatering
der rent faktisk giver muligheden for native Sysmon. På noget
hardware fejler denne opdatering.
Happy hunting......
SNORT Rules
Latest updates
BIMP-BotNet - AVRecon
BIMP-BotNet related
SMTP EHLO With IP
BIMP-BotNet
njRat / Nladabindi Trojan
Sliver - mail related
TOP BAD HTTPS TLD
Download
Suricata Rules
Latest updates
Sliver
NGROK Tunnels
BIMP-BotNet
Download
Known scanners
Latest
update
77 Different
scanning actors
Download
Sysmon Config
Latest update
Config 157
Download