// INFORME: Telemetría Avanzada y Hashing de Procesos
// MÓDULO: 5 - Threat Detection Engineering con Sysmon
// HERRAMIENTA: Sysinternals Sysmon v15.15
// ESTADO: Monitorización Persistente Activada
0x01: Visibilidad en el Endpoint
En mis arquitecturas de detección de amenazas, considero a Sysmon (System Monitor) como el componente vital que cierra la brecha de visibilidad dejada por los logs nativos de Windows.
A diferencia de otras herramientas de la suite que requieren ejecución manual, Sysmon opera como un servicio residente y un driver de kernel, registrando la actividad en el visor de eventos.
He comprobado que su principal valor reside en la capacidad de generar firmas criptográficas (MD5, SHA256) para cada proceso creado.
Esto me permite detectar binarios maliciosos que intentan evadir soluciones antivirus tradicionales mediante el cambio de nombre de archivos o técnicas de ofuscación de ruta.
0x02: Implementación
Para el despliegue del driver SysmonDrv, he utilizado un archivo de configuración XML estructurado (el de la foto de antes, algo fácil)
En este entorno de laboratorio, mi prioridad ha sido filtrar el ruido innecesario del sistema operativo para centrar la capacidad de procesamiento en eventos críticos de red y creación de procesos.
Despliegue mediante Línea de Comandos
C:\SysinternalsSuite> Sysmon64.exe -i config.xmlHe validado la instalación asegurando que los siguientes hitos se cumplan:
- Definición de reglas XML para Event ID 1 (ProcessCreate) y Event ID 3 (NetworkConnect).
- Instalación y carga del driver SysmonDrv en el Kernel.
- Inicio del servicio de monitorización del sistema.
0x03: Event ID 1
Tras generar tráfico de usuario simulado mediante comandos estándar (whoami, ipconfig), he auditado el registro en la ruta Microsoft-Windows-Sysmon/Operational.
El nivel de detalle obtenido supera cualquier registro estándar de auditoría de Windows.
ANÁLISIS DE INTEGRIDAD CRIPTOGRÁFICA
Cada evento capturado incluye los hashes MD5 y SHA256 del binario ejecutado.
He verificado que estos datos permiten la búsqueda automatizada de Indicadores de Compromiso (IoC) en bases de datos de inteligencia como VirusTotal, facilitando la identificación de amenazas conocidas incluso si el atacante ha renombrado el ejecutable.
0x04: Rastreo de Linaje y Cadena de Ejecución
He profundizado en el análisis del "ParentImage" o proceso padre.
Esta característica me otorga una visibilidad total sobre la cadena de ejecución en segundo plano.
En la evidencia recolectada, he observado cómo procesos de mantenimiento legítimos (como GoogleUpdater\updater.exe) inician sus respectivos sub-procesos.
// EXTRACTO DE LOG DE EVENTO
- Event ID: 1 (Process Creation)
- ParentImage: C:\Program Files (x86)\Google\GoogleUpdater\...\updater.exe
- Hashes: MD5=66359E7E445803478383F3D2D35E9C6B, SHA256=810E9879FDB18D0A5D68CD455B7187C62EB44FE58...
0x05: Conclusión
Combinando las herramientas analizadas en los post anteriores, he establecido un ecosistema de defensa con las siguientes capacidades:
- Análisis en Tiempo Real: Process Explorer y TCPView para diagnóstico inmediato.
- Forense de Arranque: Autoruns para la gestión de persistencia y ASEPs.
- Gestión y Escalada: PsExec para administración remota y control de SYSTEM.
- Trazabilidad de I/O: Process Monitor para interceptación de syscalls.
- Registro Inmutable: Sysmon para telemetría histórica y detección basada en hashes.
[ EOF ]