Módulo 5: Telemetría Avanzada y Hashing (Sysmon)
Herramienta: Sysinternals Sysmon v15.15
Perfil: Blue Team / Threat Detection Engineering
1. Introducción
Sysmon (System Monitor) es un componente residente del sistema que complementa la falta de visibilidad de los logs nativos de Windows. Su capacidad principal reside en registrar la creación de procesos con sus respectivos hashes criptográficos (MD5, SHA256) y la correlación de eventos de red, permitiendo la detección de binarios que intentan evadir antivirus tradicionales mediante cambios de nombre u ofuscación.
{width=“6.267716535433071in”
height=“2.5694444444444446in”}
2. Implementación Técnica
Se realizó el despliegue del servicio `Sysmon64` mediante línea de comandos, utilizando un archivo de configuración XML estructurado para filtrar el ruido.
Procedimiento:
1. Definición de Reglas (XML): Se configuró el filtro para registrar eventos `ProcessCreate` (ID 1) y `NetworkConnect` (ID 3), excluyendo procesos propios del sistema para optimizar el rendimiento.
2. Instalación del Driver: Ejecución exitosa de `Sysmon64.exe -i config.xml`.
3. Validación de Servicio: Confirmación de carga del driver `SysmonDrv` en el Kernel
3. Evidencia de Monitorización (Event ID 1)
Tras generar tráfico de usuario simulado (`whoami`, `ipconfig`), se auditó el registro `Microsoft-Windows-Sysmon/Operational`.
{width=“6.267716535433071in”
height=“1.9305555555555556in”}
Hallazgos en el Evento Capturado:
Se identificó un evento de creación de proceso con la siguiente riqueza de datos:
Integridad Criptográfica: Obtención exitosa de los hashes `MD5` y `SHA256`. Esto permite la búsqueda automatizada de indicadores de compromiso (IoC) en bases de datos de inteligencia como VirusTotal.
Cadena de Ejecución (Lineage): Identificación del `ParentImage` (Proceso Padre).
En la evidencia adjunta, se observa cómo el actualizador de Google (`GoogleUpdater\updater.exe`) inicia sub-procesos de mantenimiento, demostrando la visibilidad total de la cadena de ejecución en segundo plano.
{width=“6.267716535433071in”
height=“3.3194444444444446in”}
4. Conclusión Global
La implementación de Sysmon cierra la brecha de visibilidad en el endpoint. Combinado con las herramientas anteriores (Autoruns, ProcMon), el sistema ahora cuenta con capacidades de:
1. Análisis en tiempo real (Process Explorer).
2. Análisis forense de arranque (Autoruns).
3. Gestión remota (PsExec).
4. Trazabilidad profunda (ProcMon).
5. Registro persistente e inmutable (Sysmon).