Sysmon 事件模拟实用程序 —— SysmonSimulator

吉沃运营专员

项目地址：https://github.com/ScarredMonk/SysmonSimulator

SysmonSimulator 是一个用 C 语言创建的开源 Windows 事件模拟实用程序，可用于模拟大多数使用 WINAPI 的攻击。Blue 团队可以使用它来测试 EDR 检测和关联规则，我创建了它来为相关的 Sysmon 事件 ID 生成攻击数据。

相关说明可参考这篇文章：https://bbs.decoyit.com/thread-161-1-1.html

针对重要 Windows 事件的攻击涵盖如下：

• 流程事件：流程创建、流程终止、流程访问
• 文件事件：文件创建、文件创建时间更改、文件流创建哈希、文件删除、检测到文件删除
• 命名管道事件：命名管道创建、命名管道连接事件
• 注册表操作：注册表对象创建和删除、值集、键和值重命名
• 镜像加载
• 网络连接
• 创建远程线程
• 原始访问读取
• DNS 查询
• WMI 事件
• 剪贴板捕获
• 过程图像篡改
  

1. __                        __
   
2. (_      _ ._ _   _  ._    (_  o ._ _      |  _. _|_  _  ._
   
3. __) \/ _> | | | (_) | |   __) | | | | |_| | (_|  |_ (_) |
   
4.     /
   
5.                                             by @ScarredMonk
   
6. 
   
7. Sysmon Simulator v0.1 - Sysmon event simulation utility
   
8.     A Windows utility to simulate Sysmon event logs
   
9. 
   
10. Usage:
    
11. Run simulation : .\SysmonSimulator.exe -eid <event id>
    
12. Show help menu : .\SysmonSimulator.exe -help
    
13. 
    
14. Example:
    
15. SysmonSimulator.exe -eid 1
    
16. 
    
17. Parameters:
    
18. -eid 1  : Process creation
    
19. -eid 2  : A process changed a file creation time
    
20. -eid 3  : Network connection
    
21. -eid 5  : Process terminated
    
22. -eid 6  : Driver loaded
    
23. -eid 7  : Image loaded
    
24. -eid 8  : CreateRemoteThread
    
25. -eid 9  : RawAccessRead
    
26. -eid 10 : ProcessAccess
    
27. -eid 11 : FileCreate
    
28. -eid 12 : RegistryEvent - Object create and delete
    
29. -eid 13 : RegistryEvent - Value Set
    
30. -eid 14 : RegistryEvent - Key and Value Rename
    
31. -eid 15 : FileCreateStreamHash
    
32. -eid 16 : ServiceConfigurationChange
    
33. -eid 17 : PipeEvent - Pipe Created
    
34. -eid 18 : PipeEvent - Pipe Connected
    
35. -eid 19 : WmiEvent - WmiEventFilter activity detected
    
36. -eid 20 : WmiEvent - WmiEventConsumer activity detected
    
37. -eid 21 : WmiEvent - WmiEventConsumerToFilter activity detected
    
38. -eid 22 : DNSEvent - DNS query
    
39. -eid 24 : ClipboardChange - New content in the clipboard
    
40. -eid 25 : ProcessTampering - Process image change
    
41. -eid 26 : FileDeleteDetected - File Delete logged
    
42. 
    
43. Description:
    
44. Enter an event ID from the above parameters list and the related Windows API function is called
    
45. to simulate the attack and Sysmon event log will be generated which can be viewed in the Windows Event Viewer
    
46. 
    
47. Prerequisite:
    
48. Sysmon must be installed on the system

复制代码