Microsoft, Linux yöneticilerinin, kötü amaçlı aktivite için aygıtları izlemelerini sağlayan, Linux yöneticilerinin Windows için çok popüler Sysmon sistem izleme yardımcı programının Linux versiyonunu yayınladı.
Sysmon'a aşina olmayanlar için (AKA Sistem Monitörü), kötü amaçlı aktivite için bir sistemi izleyen bir SysInternals aracıdır ve daha sonra tespit edilen herhangi bir davranışı sistem günlük dosyalarına kaydeder.
Sysmon'un çok yönlülüğü, yöneticilerin, kötü amaçlı aktiviteyi sistemde gerçekleştiğini gösterebilecek belirli sistem olaylarını izlemek için kullanabilecekleri özel yapılandırma dosyaları oluşturma yeteneğinden gelir.
Günümüzde Microsoft'un Mark Russinovich ve SysInternals Utility Suite'in bir cofounder'ı, Microsoft'un Linux için GitHub'da açık kaynaklı bir proje olarak Sysmon'u serbest bıraktığını açıkladı.
Windows için Sysmon'un aksine, Linux kullanıcılarının programı kendilerini derlemeleri ve projenin Github sayfasında verilen talimatları olan tüm gerekli bağımlılıklara sahip olduklarından emin olmak için gerekli olacaktır.
Sysmon'u derlemek için önce SysInterSebpf projesini de yüklemeniz gerektiğini not etmek önemlidir.
Sysmon derlendiğinde, aşağıdaki ekran görüntüsünde gösterildiği gibi sudo ./sysmon -h yazarak bir yardım dosyasını görebilirsiniz.
Programı kullanmak için, önce aşağıdaki komutla son kullanıcı lisans sözleşmesini kabul etmeniz gerekir:
Ardından, aşağıdaki komutlardan birini kullanarak Sysmon'u bir yapılandırma dosyası ile veya bir yapılandırma dosyası olmadan başlatabilirsiniz:
Kendi Sysmon yapılandırma dosyanızı oluşturmak için, mevcut sürümün yapılandırma şemasını görüntülemek ve hangi direktiflerin mevcut olduğuna bakın ./sysmon -s komutunu kullanmanız gerekir.
Sysmon yapılandırma dosyası oluşturma hakkında daha fazla bilgi için, resmi belgelere danışabilir veya SwiftonSecurity'nin şablonunu örnek olarak kullanabilirsiniz.
Başladıktan sonra, Sysmon olayları / var / log / syslog dosyasına giriş yapmaya başlayacaktır. Bir yapılandırma dosyası belirtmediyseniz, neyin kaydedileceğini kısıtlamak için, syslog dosyanızın yeni işlemler başlatıldığı ve sonlandırıldığı için hızlı bir şekilde büyüdüğünü göreceksiniz.
Örneğin, aşağıdaki ekran görüntüsünde, yeni bir kullanıcı oluşturmak için kullandıktan sonra "AddUser 'komutunu sonlandıran bir olayı görebilirsiniz.
Belirli olaylar için günlükleri filtrelemeyi kolaylaştırmak için, aradığınız olayları göstermek için SysmonLogView yardımcı programını kullanabilirsiniz.
Mevcut olaylar, Linux için Sysmon'un günlüğe kaydetme yeteneğine sahip olduğu kimlikleri aşağıda listelenmiştir:
Gördüğünüz gibi, bu olayların çoğu, kayıt defteri veya WMI olayları gibi Linux için geçerli değildir, böylece yapılandırmanızı buna göre ayarlamanız gerekir.
Sysmon, bir kuruluşun güvenlik araç kutusunun bir parçası olarak Windows ortamlarında yaygın olarak kullanılan güçlü bir araçtır.
Linux'a eklenmesiyle, tamamen yeni bir sistem yöneticisi segmenti, kötü amaçlı faaliyetler için ücretsiz sistem izleme sağlamak için kullanabilir.
Kanonik, masaüstü ve sunucu için Ubuntu 21.10'u başlattı
Bu kurs demeti size Linux'ta günlük görevleri nasıl otomatikleştireceğinizi gösterir.
Fontonlake Kötü Amaçlı Yazılım, Linux sistemlerini truva haline getirilmiş yardımcı programlar üzerinden bulaştırır.
Ransomexx Ransomware Linux Encryptör, mağdurların dosyalarına zarar verebilir
Omigod: Microsoft Azure VMS Mirai, Miners'ı düşürmek için kullandılar.
Kaynak: Bleeping Computer