DNS-Abfragen mitschneiden und auswerten
Sysmon (System Monitor) ist zeitgleich ein Systemdienst und Treiber, der nach der Installation immer aktiv bleibt. Sysmon überwacht alle Systemaktivitäten und schreibt diese ins Windows Ereignisprotokoll.
Neuinstallation von Sysmon mithilfe der Powershell
Set-ExecutionPolicy Bypass -Scope Process -Force
Invoke-Expression ((New-Object System.Net.WebClient).DownloadString(‘https://chocolatey.org/install.ps1’))
choco install sysmon
choco search sysmon
Sysmon wurde heruntergeladen und ist bereit zur Nutzung.
Alternativ kann man Sysmon auch direkt von Microsoft herunterladen.
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Um nun alle DNS-Abfragen in das Ereignisprotokoll schreiben zu können, installieren wir Sysmon mit einer vorkonfigurierten Datei. Auf diese Weise lassen sich auch unbekannte Abfragen oder Schadsoftware aufdecken.
sysmon –accepteula –i dns.xml
Sysmon loggt nun alle DNS-Abfragen.
Dokument Download:
Sysmon Download:
Konfigurationsdatei: