最近，我有幸和在Azure Security Center分析小组工作的Greg Cottingham讨论，了解到进程创建事件和利用它来检查出异常事件。Azure Security Center服务是专门用于检测安全漏洞并给出相关的建议，已经于今年年初正式投入使用。下面，我将结合一些实际的攻击样本，来解释一下如何使用 SCOM（System Center Operations Manager）捕获创建可疑进程的事件。

进程创建是Windows系统中相当普遍的事情，如果我执行该操作，则可以生成一个或多个进程，这些进程会持续的保持开放状态，直到程序运行完成。而且这个过程可以被完整地查看，因为进程创建将在安全事件日志中生成4688事件，也就是说，在默认设置下，它是被禁用的。Server 2012 R2添加了一个附加功能，通过额外的GPO（组策略）设置，大家可以审核执行的命令行。简而言之，大家需要通过一些必要的设置，才能来捕捉进程的事件。

在进行捕捉之前，你应该先检查一下你的系统运行环境，如果你有ArcSight、Splunk、OMS或SCOM等工具收集安全事件，那将再好不过了。还有一个问题就是，通过打开命令行审核，任何可以读取安全事件的人都可以读取这些命令行内容，也就是说这些人很有可能读取你的敏感信息。

用一个简单的GPO就可以打开：

启用命令行：

几分钟内，4688事件开始显示在各种事件日志中。

接下来，我需要确定要查找的内容，这些事件包含一些有用的参数。完整的事件列表可以在下图中看到：

虽然参数6（新进程名称）和参数9（命令行）通常包含一些触发的项目，但是我可以使用SCOM来捕获到其他诸如用户名（参数2）的内容。另外，我不想直接使用4688事件的提醒通知，因为这会产生大量的干扰信息，但我可以将其定位到每次应该调查的特定事件中，比如下面这个操作实例：

绕过Windows AppLocker，攻击者使用javascript或regsvr32命令行工具，来绕过Windows AppLocker安全措施并正常注册动态链接库（DLLs）：

命令行FTP，攻击者使用命令行下载执行有效载荷：

攻击者操纵PowerShell窗口位置，然后执行powershell命令，但是操作窗口会被隐藏，这样用户就无法看到它了：

在没有可执行文件的文件夹中执行命令，如果你觉得读取这个文件夹列表可能要花费很长时间，那下图就是一些常见的执行文件的位置：

攻击者在启动时会添加一个启动进程的行，不过你要注意，在实际操作时，你可能还需要添加一些“不包含”选项，以避免正常事件的通知提醒：

目前我正在开发包含这些监控器的管理包以及包含其他安全规则和SCOM可以提供的其他安全相关项目。我的主要目标是将捕获过程中的干扰信息获降低到最低限度，以便对每个可疑的进程事件进行警告提示。