
QLOG proporciona registro de eventos avanzado para eventos relacionados con la seguridad en sistemas basados en Windows. Está en fuerte desarrollo y actualmente se encuentra en estado alfa. QLOG no usa enlaces de API y no es necesario instalar ningún controlador en el sistema de destino, QLOG solo usa ETW para obtener su telemetría. Actualmente, QLOG solo admite eventos de creación de procesos, pero otros eventos enriquecidos seguirán en breve. QLOG se ejecuta como servicios de Windows, pero también se puede ejecutar en modo consola si desea transmitir los eventos enriquecidos directamente a la consola.
Como funciona
QLOG lee de ETW, enriquece eventos y escribe eventos enriquecidos en el canal de eventos «QLOG». Crea y utiliza una nueva fuente de eventos llamada «QMonitor» para escribir en el registro de eventos de Windows.
Aquí está el orden de procesamiento de eventos:
- Cree una sesión de ETW y suscríbase a proveedores de ETW de kernel y de usuario relevantes
- Leer eventos de proveedores de condominios
- Enriquecer eventos
- Escribir eventos enriquecidos en el canal de registro de eventos de QLOG
Desarrollo y licencia
QLOG está siendo desarrollado por la comunidad Threathunters.io y será de código abierto una vez que esté listo para la producción.
¿Por qué creamos QLOG?
Sysmon hace un gran trabajo, pero queríamos crear una herramienta que fuera de código abierto y no requiriera la instalación de controladores en los sistemas de destino. Además, Microsoft NO SOPORTA Sysmon. Entonces, si tiene problemas en Prod, está solo. Claro, QLOG tampoco tiene soporte, pero será de código abierto para que podamos solucionar problemas con el poder de la comunidad de seguridad y desarrollar nuevas funciones basadas en las necesidades de la comunidad.
Uso e instalación
QLOG requiere la instalación de .NET Framework> = 4.7.2.
Para ejecutar en modo de consola interactiva, simplemente ejecute
qlog.exe
Para instalar / desinstalar como un servicio de Windows, haga lo siguiente:
# Instalar el servicio
qlog.exe -i
# Servicio de desinstalación
qlog.exe -u
Salida de muestra de eventos PROCESS CREATE enriquecidos
«EventGuid»: «68795fe8-67e7-410b-a5c0-8364746d7ffe»,
«Hora de inicio»: «2021-07-11T11: 06: 56.9621746 + 02: 00»,
«QEventID»: 100,
«QType»: «Crear proceso»,
«Nombre de usuario»: «TESTOS TESTUSER»,
«Nombre del archivo de imagen»: «TEAMS.EXE»,
«KernelImagefilename»: «TEAMS.EXE»,
«Nombre de archivo original»: «TEAMS.EXE»,
«Ruta completa»: «C: Users TESTUSER AppData Local Microsoft Teams current Teams.exe»,
«PID»: 21740,
«Línea de comando»: «» C: Users TESTUSER AppData Local Microsoft Teams current Teams.exe «–type = renderer –autoplay-policy = no-user-gesto-required –disable-background – Timer-Throttling –field-trial-handle = 1668,499009601563875864,12511830007210419647,131072 –enable-features = WebComponentsV0Enabled –disable-features = CookiesWithoutSameSiteMustBeSecure, SameSiteByDefault –Cookies, repuesto de usuario-idioma-usuario -model-id = com.squirrel.Teams.Teams –app-path = ”C: Users jocke”,
«Número de módulos»: 41,
«TTPHash»: «42AC63285408F5FD91668B16F8E9157FD97046AB63E84117A14E31A188DDC62F»,
«Empujar»: «F14F00FA1D4C82B933279C1A28957252»,
«Sha256»: «155625190ECAA90E596CB258A07382184DB738F6EDB626FEE4B9652FA4EC1CC2»,
«Md5»: «9453BC2A9CC489505320312F4E6EC21E»,
«Sha1»: «7219CB54AC535BA55BC1B202335A6291FDC2D76E»,
«ProcessIntegrityLevel»: «Ninguno»,
«isOndisk»: verdadero,
«isRunning»: cierto,
«Firmado»: «Firma válida»,
«AuthenticodeHash»: «B8AD58EE5C35B3F80C026A318EEA34BABF6609C077CB3D45AEE69BF5C9CF8E11»,
«Firmas»: [
“Subject”: “CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“Issuer”: “CN=Microsoft Code Signing PCA 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“NotBefore”: “15.12.2020 22:24:20”,
“NotAfter”: “02.12.2021 22:24:20”,
“DigestAlgorithmName”: “SHA256”,
“Thumbprint”: “E8C15B4C98AD91E051EE5AF5F524A8729050B2A2”,
“TimestampSignatures”: [
“Subject”: “CN=Microsoft Time-Stamp Service, OU=Thales TSS ESN:3BBD-E338-E9A1, OU=Microsoft America Operations, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“Issuer”: “CN=Microsoft Time-Stamp PCA 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“NotBefore”: “12.11.2020 19:26:02”,
“NotAfter”: “11.02.2022 19:26:02”,
“DigestAlgorithmName”: “SHA256”,
“Thumbprint”: “E8220CE2AAD2073A9C8CD78752775E29782AABE8”,
“Timestamp”: “15.06.2021 00:39:50 +02:00”
]
,
«Asunto»: «CN = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = Washington, C = US»,
«Emisor»: «CN = Microsoft Code Signing PCA 2011, O = Microsoft Corporation, L = Redmond, S = Washington, C = US»,
«No antes»: «15.12.2020 22:31:47»,
«No después»: «02.12.2021 22:31:47»,
«DigestAlgorithmName»: «SHA256»,
«Huella digital»: «C774204049D25D30AF9AC2F116B3C1FB88EE00A4»,
«Firmas de sello de tiempo»: [
“Subject”: “CN=Microsoft Time-Stamp Service, OU=Thales TSS ESN:F87A-E374-D7B9, OU=Microsoft Operations Puerto Rico, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“Issuer”: “CN=Microsoft Time-Stamp PCA 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“NotBefore”: “14.01.2021 20:02:23”,
“NotAfter”: “11.04.2022 21:02:23”,
“DigestAlgorithmName”: “SHA256”,
“Thumbprint”: “ED2C601EDD49DD2A934D2AB32DCACC19940161EF”,
“Timestamp”: “15.06.2021 00:39:53 +02:00”
]
],
«Proceso principal»:
«EventGuid»: nulo,
«Hora de inicio»: «2021-07-11T09: 54: 28.9558001 + 02: 00»,
«QEventID»: 100,
«QType»: «Crear proceso»,
«Nombre de usuario»: «TEST-OS TESTUSER»,
«Nombre de archivo de imagen»: «»,
«KernelImagefilename»: «»,
«Nombre de archivo original»: «TEAMS.EXE»,
«Ruta completa»: «C: Users TESTUSER AppData Local Microsoft Teams current Teams.exe»,
«PID»: 16232,
«Línea de comando»: «C: Users TESTUSER AppData Local Microsoft Teams current Teams.exe»,
«Número de módulos»: 162,
«TTPHash»: «»,
«Empujar»: «F14F00FA1D4C82B933279C1A28957252»,
«Sha256»: «155625190ECAA90E596CB258A07382184DB738F6EDB626FEE4B9652FA4EC1CC2»,
«Md5»: «9453BC2A9CC489505320312F4E6EC21E»,
«Sha1»: «7219CB54AC535BA55BC1B202335A6291FDC2D76E»,
«ProcessIntegrityLevel»: «Medio»,
«isOndisk»: verdadero,
«isRunning»: cierto,
«Firmado»: «Firma válida»,
«AuthenticodeHash»: «B8AD58EE5C35B3F80C026A318EEA34BABF6609C077CB3D45AEE69BF5C9CF8E11»,
«Firmas»: [
“Subject”: “CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“Issuer”: “CN=Microsoft Code Signing PCA 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“NotBefore”: “15.12.2020 22:24:20”,
“NotAfter”: “02.12.2021 22:24:20”,
“DigestAlgorithmName”: “SHA256”,
“Thumbprint”: “E8C15B4C98AD91E051EE5AF5F524A8729050B2A2”,
“TimestampSignatures”: [
“Subject”: “CN=Microsoft Time-Stamp Service, OU=Thales TSS ESN:3BBD-E338-E9A1, OU=Microsoft America Operations, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“Issuer”: “CN=Microsoft Time-Stamp PCA 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“NotBefore”: “12.11.2020 19:26:02”,
“NotAfter”: “11.02.2022 19:26:02”,
“DigestAlgorithmName”: “SHA256”,
“Thumbprint”: “E8220CE2AAD2073A9C8CD78752775E29782AABE8”,
“Timestamp”: “15.06.2021 00:39:50 +02:00”
]
,
«Asunto»: «CN = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = Washington, C = US»,
«Emisor»: «CN = Microsoft Code Signing PCA 2011, O = Microsoft Corporation, L = Redmond, S = Washington, C = US»,
«No antes»: «15.12.2020 22:31:47»,
«No después»: «02.12.2021 22:31:47»,
«DigestAlgorithmName»: «SHA256»,
«Huella digital»: «C774204049D25D30AF9AC2F116B3C1FB88EE00A4»,
«Firmas de sello de tiempo»: [
“Subject”: “CN=Microsoft Time-Stamp Service, OU=Thales TSS ESN:F87A-E374-D7B9, OU=Microsoft Operations Puerto Rico, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“Issuer”: “CN=Microsoft Time-Stamp PCA 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US”,
“NotBefore”: “14.01.2021 20:02:23”,
“NotAfter”: “11.04.2022 21:02:23”,
“DigestAlgorithmName”: “SHA256”,
“Thumbprint”: “ED2C601EDD49DD2A934D2AB32DCACC19940161EF”,
“Timestamp”: “15.06.2021 00:39:53 +02:00”
]
],
«Proceso principal»: nulo