2532786

Achtung: So erkennen Sie Angriffe auf Ihren PC

15.09.2020 | 08:02 Uhr | Arne Arnold

Gefährliche Viren und Hacker können sich oft heimlich in ein System einklinken und dort unbemerkt spionieren. Entdecken lässt sich ein solcher Angriff nur mit Spezial-Tools. Wir stellen eines der besten vor und zeigen, wie Sie sich damit schützen.

Eigentlich sollte Ihre Antivirensoftware jeden PC-Virus auf Ihrem Rechner erkennen, blockieren und löschen. Doch gelingt es Angreifern immer wieder, die Sicherheitssoftware zu überlisten. Der feindliche Code bleibt dann oft Monate oder gar Jahre unbemerkt im System und bietet dem Angreifer immer wieder einen heimlichen Zugriff auf Ihre Daten und Ihr System. In solchen Fällen ist es nicht einfach, den Schädling doch noch aufzuspüren. Möglich ist das aber zum Beispiel über eine Analyse der aktiven Prozesse . Oder Sie suchen nach bestimmten Symptomen, die wir im Onlinebeitrag erkären .

Das Profi-Tool für Systemzugriffe und mehr 

Es gibt eine Profi-Methode, mit der sich selbst die raffiniertesten PC-Schädlinge aufspüren lassen. Mit dem Microsoft-Tool Sysmon protokollieren Sie alle erdenklichen Vorgänge im System und werden so auf Code aufmerksam, der unerwünschte Aktionen durchführt. Sysmon wurde 2014 von dem Softwarearchitekten Mark Russinovich entwickelt, um Angriffe auf Systeme zu entdecken. Es ist Teil der beliebten Windows-Sysinternals-Suite.

Sysmon ist allerdings kein Abwehrtool, das einen Angriff blockieren kann. Es soll vielmehr helfen, verdächtige Aktivitäten auf dem Rechner in einem Protokoll aufzuzeichnen und so auf Schadcode aufmerksam zu werden.

Eine Schwierigkeit bei solchen Protokollen ist die riesige Menge an Aktivitäten, die in einem ganz normalen Windows stattfinden. Laufend startet das System Prozesse, greift auf Daten oder Konfigurationsdatenbanken zu, beendet Prozesse wieder oder fragt Details im Internet ab. Aus diesem Wust von Protokolldaten später die verdächtigen Aktionen herauszufischen, ist meist zeitaufwendig und setzt einige Erfahrung voraus. In diesem Beitrag wollen wir mit zwei konkreten Beispielen Hilfestellungen geben.

So installieren Sie Sysmon auf Ihrem System

Starten Sie die Eingabeaufforderung von Windows mit Administratorrechten. Dazu können Sie den Befehl nach einem Klick auf das Windowslogo eingeben und erhalten dann dieses Menü.
Vergrößern Starten Sie die Eingabeaufforderung von Windows mit Administratorrechten. Dazu können Sie den Befehl nach einem Klick auf das Windowslogo eingeben und erhalten dann dieses Menü.

Das Tool Sysmon arbeitet als Systemdienst und bietet keine grafische Bedienerführung. Es liegt in einer Version für Windows 32 Bit (Sysmon.exe) und 64 Bit (Sysmon64.exe) vor. Zur Installation starten Sie eine Eingabeaufforderung mit Adminrechten.

Dafür klicken Sie auf das Windows-Symbol und geben Eingabeaufforderung ein. Wählen Sie „Als Administrator starten“ aus dem Startmenü. In der Eingabeaufforderung wechseln Sie per cd <Pfad> in den Ordner, in dem die heruntergeladenen Sysmon-Dateien liegen. Dort führen Sie auf 64-Bit-Systemen diesen Befehl aus: 

sysmon64 -i 

Wenn Sie das Tool zum ersten Mal ausführen, müssen Sie noch die Lizenzbestimmungen per Klick bestätigen. Das lässt sich allerdings mit dem Parameter „accepteula“ unterdrücken:

sysmon64 -accepteula –i 

Sysmon ist nun nicht nur installiert, es läuft auch bereits mit seinen Standardeinstellungen. Diese protokollieren allerdings noch nicht besonders viele Aktionen. Wie Sie das ändern, beschreiben wir weiter unten, nachdem wir uns zunächst um das Protokoll von Sysmon gekümmert haben.

So sehen Sie sich das Sysmon-Protokoll an

So sieht der Installationsbefehl von Sysmon auf einem 32-Bit-System aus. Wenn Sie ein 64-Bit-System nutzen, verwenden Sie den Befehl sysmon64. Der Parameter i steht für „install“, und „accepteula“ nickt die Lizenzbestimmung ab.
Vergrößern So sieht der Installationsbefehl von Sysmon auf einem 32-Bit-System aus. Wenn Sie ein 64-Bit-System nutzen, verwenden Sie den Befehl sysmon64. Der Parameter i steht für „install“, und „accepteula“ nickt die Lizenzbestimmung ab.

Sysmon speichert sein Protokoll in die Ereignisanzeige von Windows. Die Ereignisanzeige wird auch von Windows selber sowie von einigen anderen Tools als Protokollprogramm verwendet. Es dient dabei nicht nur als Speicherplatz für die Log-Dateien, sondern soll mit Filtern und Suchfunktionen auch bei der Auswertung helfen. Denn für die meisten großen Log-Dateien gilt: Sie sind ein Schatz an Informationen, aber meist sieht man den Wald vor lauter Bäumen nicht. Die schiere Menge an Protokolleinträgen macht eine Auswertung schwierig. Wer bisher wenig Kontakt mit der Ereignisanzeige hatte, kann sich in unserem ausführlichen Ratgeber  zu diesem Tool holen.

Ereignisanzeige: Starten Sie die Ereignisanzeige von Windows über „Windows-Symbol –› Windows Verwaltungsprogramme –› Ereignisanzeige“. Wechseln Sie im linken Bereich des Programms in den Ordner „Anmeldungs- und Dienstprotokolle –› Microsoft –› Windows –› Sysmon –› Operational“. Dieser Ordner ist nur dann vorhanden, wenn Sie Sysmon bereits installiert haben.

Im mittleren Bereich sehen Sie oben die einzelnen Log-Einträge sortiert nach Datum und Uhrzeit. Klicken Sie auf einen Eintrag in der Liste, wird sein Inhalt im darunter liegenden Bereich angezeigt. Die Infos unter „Allgemein“ sind bei vielen Einträgen länger als angezeigt. Klicken Sie in das Feld und scrollen Sie mit der Maus durch alle Infos. Haben Sie Sysmon ohne spezielle Konfiguration gestartet, erscheinen im Protokoll überwiegend Ereignis-IDs mit den Nummern 1 und 5. Dabei steht die 1 für den Start eines neuen Prozesses und 5 für das Beenden eines solchen.

Die Ereignisanzeige mit ihren Bereichen: Links sehen Sie eine Ordnerstruktur, in der sich die verschiedenen Protokolle finden, in der Mitte wird ein ausgewähltes Protokoll angezeigt, und rechts finden sich Funktionen des Tools.
Vergrößern Die Ereignisanzeige mit ihren Bereichen: Links sehen Sie eine Ordnerstruktur, in der sich die verschiedenen Protokolle finden, in der Mitte wird ein ausgewähltes Protokoll angezeigt, und rechts finden sich Funktionen des Tools.

Auf der rechten Seite der Ereignisanzeige sehen Sie den Bereich „Aktion“. Dort können Sie das Protokoll vorübergehend stoppen, sichern, aktualisieren und einiges mehr. Behalten Sie später auch die Größe des Protokolls im Auge. Das geht, wenn Sie auf der linken Seite nicht den Ordner „Operational“ anklicken, sondern „Sysmon“. Sollten Sie Sysmon später so konfigurieren, dass es möglichst viele Ereignisse aufzeichnet, kann das Protokoll schnell sehr umfangreich werden.

Siehe auch: 4 Zeichen dafür, dass Ihr PC gehackt wurde

Das bedeuten die Ereignis-IDs im Sysmon-Protokoll 

Auf der Website von Sysmon erfahren Sie, was die einzelnen Ereignis- IDs im Protokoll von Sysmon bedeuten. Eine Kurzbeschreibung der IDs finden Sie außerdem in der Tabelle.
Vergrößern Auf der Website von Sysmon erfahren Sie, was die einzelnen Ereignis- IDs im Protokoll von Sysmon bedeuten. Eine Kurzbeschreibung der IDs finden Sie außerdem in der Tabelle.

Damit Sie interessante Einträge im Protokoll von Sysmon finden können, müssen Sie wissen, was diese bedeuten. Nur dann können Sie gezielt zum Beispiel die Einträge heraussuchen, die Ihnen Zugriffe auf das Internet anzeigen. Auf der Website von Sysmon  finden Sie alle relevanten Ereignis-IDs erklärt. In der Tabelle finden Sie eine kurze Version der Infos.

So konfigurieren Sie die Systemüberwachung Sysmon 

Wenn Sie Sysmon über den Befehl sysmon64 -i starten, protokolliert das Tool nur wenige Ereigniskategorien. 

Sie können aber über Konfigurationsdateien weitere Ereignisse aufzeichnen lassen. Bei diesen Dateien mit der Endung xml handelt es sich um reine Textdateien, beispielsweise Config.xml.

Um Sysmon mit der Konfiguration dieser Datei zu installieren, nutzen Sie diesen Befehl in der Eingabeaufforderung: 

sysmon64 -i config.xml 

Sollte Sysmon bereits installiert sein, ändern Sie seine Konfiguration über den Parameter c.

sysmon64 -c config.xml 

Wenn Sie sich die aktuelle Konfiguration von Sysmon ansehen möchten, geben Sie einfach nur 

sysmon64 -c 

ein. 

Die Standardkonfiguration erstellen Sie jederzeit mit dem Parameter c gefolgt von -. Daraus ergeben sich dann in der Befehlszeile zwei Minuszeichen ohne Leerzeichen: 

sysmon64 -c -- 

Die große Herausforderung bei der Nutzung von Sysmon liegt in der Konfiguration des Tools. Zwar könnten Sie einfach alles von Sysmon aufzeichnen lassen, doch erhalten Sie dann eine derart umfangreiche Protokolldatei, dass es noch mal schwerer fällt, darin das Gewünschte zu finden. Wer das dennoch mal ausprobieren möchte, kann die Konfigurationsdatei  testen. Sie speichert alles bis auf die Ereignis-ID 22, die erst nach der Erstellung der Konfigurationsdatei eingeführt wurde. Empfehlenswert ist das komplette Protokollieren allerdings nicht. Klüger ist es, wenn Sie alle jene Ereignisse ausklammern, die höchstwahrscheinlich von harmlosen Prozessen ausgehen. Eine gute, allerdings englischsprachige Einführung in das Thema Sysmon-Konfiguration finden Sie hier .

Nachfolgend finden Sie nun zwei Beispiele für Konfigurationen.

Beispiel 1: So protokollieren Sie DNS-Abfragen

Schadcode auf dem PC wird früher oder später eine Verbindung ins Internet aufbauen. Den er will entweder gestohlene Infos ins Internet laden oder neuen Code aus dem Internet holen. Backdoors funken ebenfalls ins Internet, wenn es auch nur die aktuelle IP-Adresse des befallenen Netzwerks ist, damit der Angreifer dann von außen auf den Backdoor-verseuchten PC zugreifen kann.

Mit Sysmon können Sie die meisten Zugriffe auf das Internet protokollieren, denn Sysmon überwacht Abfragen an DNS-Server. Das Tool registriert also, wenn sich ein Prozess die IP-Adresse zu einer Webadresse, beispielsweise zu https://dropbox.com , geben lässt.

In der Ereignisanzeige von Windows können Sie auch sehen, wie groß das Protokoll von Sysmon bereits geworden ist. Klicken Sie dafür links auf den Ordner „Anmeldungs- und Dienstprotokolle –› Microsoft –› Windows –› Sysmon“.
Vergrößern In der Ereignisanzeige von Windows können Sie auch sehen, wie groß das Protokoll von Sysmon bereits geworden ist. Klicken Sie dafür links auf den Ordner „Anmeldungs- und Dienstprotokolle –› Microsoft –› Windows –› Sysmon“.

Damit Sie mit dem Tool Sysmon speziell DNS-Abfragen aufzeichnen können, benötigen Sie eine Konfigurationsdatei, die Sie beim Starten von Sysmon angeben oder anschließend aktivieren. Auf dieser Webseite finden Sie dafür das schlanke Sysmon DNS-Protokoll, das der Sicherheitsspezialist Didier Stevens bereitstellt. Wir haben der Protokoll-Datei den Namen dns-lookup.xml gegeben. Starten Sie Sysmon mit folgendem Befehl in einer Eingabeaufforderung mit Administratorrechten: 

Sysmon -i dns-lookup.xml 

Dabei muss die Konfigurationsdatei dnslookup.xml im selben Ordner wie Sysmon liegen oder mit einer Pfadangabe versehen werden. Sysmon speichert nun auch DNS-Abfragen in die Windows-Ereignisanzeige. Wichtig: Auf einem PC im produktiven Einsatz wird die DNS-Query sehr viele Einträge liefern. Viele der Onlinetools, etwa der Dropbox-Client, Teams oder Outlook fragen regelmäßig DNS-Server ab und füllen das Protokoll.

Hinweis: Die Browser Firefox und Chrome nutzen einen eigenen DNS-Cache sowie eigene DNS-Lookup-Methoden, die Sysmon nicht erfasst. Das Surfverhalten von Browsernutzern erfasst Sysmon also nur teilweise, aber dafür ist das Tool ja auch nicht gedacht.

Tipp: Die 10 gefährlichsten Internetangriffe

Beispiel 2: Komplette Überwachung wichtiger Ereignisse

Sie können Sysmon auch so konfigurieren, dass das Tool möglichst alle Ereignisse protokolliert, die auf schädlichen Code oder Hacker-Aktivitäten hindeuten. Natürlich werden damit auch alle harmlosen Aktionen aufgezeichnet. Die Protokolldatei ist also sehr umfangreich. Für die Suche nach einem unbekannten Schädling im eigenen System ist sie aber ein guter Startpunkt.

Eine entsprechende Konfigurationsdatei hat der Sicherheitsexperte Swift on Security auf Github bereitgestellt. Sie heißt Sysmon-Config , ihr Dateiname sysmonconfig-export.xml. Der Vorteil dieser Datei ist, dass nahezu alle Anweisungen mit erklärenden Kommentaren versehen sind. Sie ist damit auch eine Art Anleitung, die Sie mit den Fähigkeiten von Sysmon vertraut macht. Starten Sie Sysmon mit folgendem Befehl in einer Eingabeaufforderung mit Administratorrechten, wenn sich Sysmon, die Konfigurationsdatei und die Eingabeaufforderung im selben Ordner befinden.

sysmon64 -i sysmonconfig-export.xml

Sollte Sysmon bereits aktiv sein, nutzen Sie diesen Befehl zur Aktualisierung der Konfiguration: 

sysmon64 -c sysmonconfig-export.xml 

So stoppen Sie Sysmon und beseitigen Probleme

Wenn Sie das Protokoll von Sysmon stoppen möchten, geht das in der Ereignisanzeige. Wenn Sie Sysmon komplett stoppen möchten, geht das über folgenden Befehl: 

sysmon64 -u 

Danach werden keine Protokolleinträge mehr erstellt. Zudem löscht Sysmon alle bereits erstellten Protokolle. Wenn Sie diese zur späteren Analyse sichern wollen, müssen Sie vor dem Stoppen von Sysmon in der Ereignisanzeige den Ordner „Operational“ markieren. Nun können Sie rechts unter „Aktionen“ den Befehl „Alle Einträge sichern“ ausführen. Dort können Sie das Protokoll auch über „Protokoll deaktivieren“ vorübergehend stoppen.

Hinweis: Auf unserem Testrechner beobachteten wir nach dem Aktivieren von Sysmon Ruckler bei einem Videostream. Das Problem ließ sich reproduzieren. Es trat aber nur beim Stream aus TV-Mediatheken etwa von ARD und ZDF auf. Bei Netflix oder Youtube konnten wir das Problem nicht nachstellen. Sollte es bei Ihnen während der Nutzung von Sysmon ebenfalls zu Problemen beim Videostreaming kommen, deaktivieren Sie am besten als erstes Sysmon. Das geht wie eben beschrieben mit sysmon64 -u.

Ereignis-ID

Beschreibung

1

Ein Prozess wird neu gestartet.

2

Ein Prozess ändert das Erstellungsdatum einer Datei.

3

Eine Netzwerkverbindung wird aufgebaut.

4

Der Sysmon-Dienst wird geändert.

5

Ein Prozess wird beendet.

6

Ein Treiber wird geladen.

7

Ein Programm startet.

8

Ein Prozess greift in einen anderen Prozess ein.

9

Lesezugriff im Raw-Modus.

10

Ein Prozess ruft einen anderen Prozess auf.

11

Eine Datei wird erzeugt oder überschrieben.

12

Ein Registry-Eintrag wird erzeugt oder gelöscht.

13

Ein Registry-Eintrag wird verändert.

14

Ein Registry-Eintrag wird umbenannt.

15

Ein File Stream wird erzeugt (www.pcwelt.de/file-streams).

16

Nicht verfügbar.

17

Eine "Named Pipe" wird erzeugt (www.pcwelt.de/named-pipes).

18

Eine Pipe-Verbindung wird hergestellt (www.pcwelt.de/named-pipes).

19-21

Es finden WMI-Events statt (www.pcwelt.de/wmi).

22

Eine DNS-Abfrage findet statt.

23

Eine Datei wird gelöscht.

255

Sysmon hat einen Fehler.

PC-WELT Marktplatz

2532786