Die vrystelling van weergawe 12 van Sysmon is op 17 September om . Trouens, nuwe weergawes van Process Monitor en ProcDump is ook op hierdie dag vrygestel. In hierdie artikel sal ek praat oor die sleutel en kontroversiële innovasie van weergawe 12 van Sysmon - die tipe gebeurtenisse met Event ID 24, waarin werk met die knipbord aangeteken is.
Inligting van hierdie tipe gebeurtenis skep nuwe geleenthede om verdagte aktiwiteite (sowel as nuwe kwesbaarhede) te monitor. So, jy kan verstaan wie, waar en presies wat hulle probeer kopieer het. Onder die snit is 'n beskrywing van sommige velde van die nuwe gebeurtenis en 'n paar gebruiksgevalle.
Die nuwe geleentheid bevat die volgende velde:
Image: die proses waaruit data na die knipbord geskryf is.
sessie: die sessie waarin die knipbord geskryf is. Dit kan stelsel (0) wees
wanneer jy aanlyn of op afstand werk, ens.
Kliëntinligting: bevat die sessie-gebruikernaam en, in die geval van 'n afgeleë sessie, die oorspronklike gasheernaam en IP-adres, indien beskikbaar.
Hashes: bepaal die naam van die lêer waarin die gekopieerde teks gestoor is (soortgelyk aan om met gebeurtenisse van die FileDelete-tipe te werk).
Geargiveer: status, of die teks vanaf die knipbord in die Sysmon-argiefgids gestoor is.
Die laaste paar velde is kommerwekkend. Die feit is dat Sysmon sedert weergawe 11 (met toepaslike instellings) verskeie data in sy argiefgids kan stoor. Gebeurtenis-ID 23 teken byvoorbeeld lêerskrapgebeurtenisse aan en kan hulle almal in dieselfde argiefgids stoor. Die CLIP-merker word bygevoeg by die naam van lêers wat geskep is as gevolg van die werk met die knipbord. Die lêers self bevat die presiese data wat na die knipbord gekopieer is.
Dit is hoe die gestoorde lêer lyk
Stoor na 'n lêer is geaktiveer tydens installasie. Jy kan witlyste stel van prosesse waarvoor teks nie gestoor sal word nie.
Dit is hoe die Sysmon-installasie lyk met die toepaslike argiefgidsinstellings:
Hier, dink ek, is dit die moeite werd om wagwoordbestuurders te onthou wat ook die knipbord gebruik. As u Sysmon op 'n stelsel met 'n wagwoordbestuurder het, sal u (of 'n aanvaller) daardie wagwoorde kan vaslê. Gestel jy weet watter proses die gekopieerde teks toeken (en dit is nie altyd die wagwoordbestuurderproses nie, maar dalk 'n paar svchost), kan hierdie uitsondering by die witlys gevoeg word en nie gestoor word nie.
Jy weet dalk nie, maar die teks vanaf die knipbord word deur die afgeleë bediener vasgelê wanneer jy daarna oorskakel in RDP-sessiemodus. As jy iets op jou knipbord het en jy wissel tussen HOP-sessies, sal daardie inligting saam met jou reis.
Kom ons som Sysmon se vermoëns op om met die knipbord te werk.
Vasgestel:
- Tekskopie van geplakte teks via HOP en plaaslik;
- Vang data van die knipbord vas deur verskeie nutsprogramme/prosesse;
- Kopieer/plak teks van/na die plaaslike virtuele masjien, selfs al is hierdie teks nog nie geplak nie.
Nie aangeteken nie:
- Kopieer/plak lêers van/na 'n plaaslike virtuele masjien;
- Kopieer/plak lêers via RDP
- 'n Malware wat jou knipbord kaap, skryf net na die knipbord self.
Ten spyte van sy dubbelsinnigheid, sal hierdie tipe gebeurtenis jou toelaat om die aanvaller se algoritme van aksies te herstel en te help om voorheen ontoeganklike data te identifiseer vir die vorming van nadoodse ondersoeke na aanvalle. As die skryf van inhoud na die knipbord steeds geaktiveer is, is dit belangrik om elke toegang tot die argiefgids op te teken en potensieel gevaarlikes te identifiseer (nie geïnisieer deur sysmon.exe nie).
Om die gebeure wat hierbo gelys word op te teken, te ontleed en daarop te reageer, kan jy die instrument gebruik , wat al drie benaderings kombineer en boonop 'n effektiewe gesentraliseerde bewaarplek is van alle versamelde rou data. Ons kan die integrasie daarvan met gewilde SIEM-stelsels opstel om die koste van hul lisensiëring te verminder deur die verwerking en berging van rou data na InTrust oor te dra.
Om meer te wete te kom oor InTrust, lees ons vorige artikels of .
(gewilde artikel)
Bron: will.com