تم الإعلان عن إصدار الإصدار 12 من Sysmon في 17 سبتمبر في
تفتح المعلومات من هذا النوع من الأحداث طرقًا جديدة للتحكم في النشاط المشبوه (بالإضافة إلى نقاط الضعف الجديدة). لذلك ، يمكنك أن تفهم من ومن أين وماذا بالضبط حاولوا نسخه. تحت الخفض ، وصف لبعض الحقول الخاصة بالحدث الجديد وحالتين من حالات الاستخدام.
يحتوي الحدث الجديد على الحقول التالية:
صورة: العملية التي تمت كتابة بياناتها في الحافظة.
جلسة: الجلسة التي كتبت إلى الحافظة. يمكن أن يكون النظام (0)
عند العمل في الوضع التفاعلي أو البعيد ، إلخ.
معلومات العميل: يحتوي على اسم مستخدم الجلسة ، وفي حالة الجلسة البعيدة ، اسم المضيف الأصلي وعنوان IP ، إذا كان متاحًا.
تجزئة: يحدد اسم الملف الذي تم حفظ النص المنسوخ فيه (على غرار العمل مع أحداث من نوع FileDelete).
مؤرشف: الحالة ، سواء تم حفظ النص من الحافظة في دليل أرشيف Sysmon.
المجالان الأخيران ينذران بالخطر. الحقيقة هي أنه منذ الإصدار 11 Sysmon يمكنه (بالإعدادات المناسبة) حفظ بيانات مختلفة في دليل الأرشيف الخاص به. على سبيل المثال ، يسجل Event ID 23 أحداث حذف الملفات ويمكنه حفظها جميعًا في نفس دليل الأرشيف. تتم إضافة علامة CLIP إلى اسم الملفات التي تم إنشاؤها نتيجة للعمل مع الحافظة. تحتوي الملفات نفسها على البيانات الدقيقة التي تم نسخها إلى الحافظة.
هذا ما يبدو عليه الملف المحفوظ
يتم تمكين الحفظ في ملف أثناء التثبيت. يمكنك تعيين القوائم البيضاء للعمليات التي لن يتم حفظ النص من أجلها.
هذا ما يبدو عليه تثبيت Sysmon مع إعداد دليل الأرشيف المناسب:
هنا ، أعتقد أنه من الجدير تذكر مديري كلمات المرور الذين يستخدمون أيضًا الحافظة. سيسمح لك وجود Sysmon على نظام به مدير كلمات مرور (أو مهاجم) بالتقاط كلمات المرور هذه. بافتراض أنك تعرف العملية التي تخصص النص المنسوخ (وهذه ليست دائمًا عملية إدارة كلمات المرور ، ولكن ربما بعض svchost) ، يمكن إضافة هذا الاستثناء إلى القائمة البيضاء وعدم حفظه.
ربما لم تكن تعرف ذلك ، ولكن يتم التقاط النص من الحافظة بواسطة الخادم البعيد عند التبديل إليه في وضع جلسة RDP. إذا كان لديك شيء ما في الحافظة الخاصة بك وقمت بالتبديل بين جلسات RDP ، فستنتقل هذه المعلومات معك.
دعونا نلخص قدرات حافظة Sysmon.
مُثَبَّت:
- نسخة نصية من النص الملصق عبر RDP ومحليًا ؛
- التقاط البيانات من الحافظة بواسطة أدوات / عمليات مختلفة ؛
- نسخ / لصق نص من / إلى الجهاز الظاهري المحلي ، حتى لو لم يتم لصق النص بعد.
لم تحل:
- نسخ / لصق الملفات من / إلى الجهاز الظاهري المحلي ؛
- نسخ / لصق الملفات عبر RDP
- البرامج الضارة التي تخطف الحافظة الخاصة بك لا تكتب إلا إلى الحافظة نفسها.
على الرغم من غموضه ، سيسمح لك هذا النوع من الأحداث باستعادة خوارزمية إجراءات المهاجم والمساعدة في تحديد البيانات التي كان يتعذر الوصول إليها سابقًا لتشكيل حالات ما بعد الوفاة بعد الهجمات. إذا كانت كتابة المحتوى إلى الحافظة لا تزال ممكّنة ، فمن المهم تسجيل كل وصول إلى دليل الأرشيف وتحديد تلك التي يحتمل أن تكون خطرة (لم يبدأها sysmon.exe).
يمكنك استخدام الأداة لالتقاط الأحداث المذكورة أعلاه وتحليلها والرد عليها
لمعرفة المزيد حول InTrust ، اقرأ مقالاتنا السابقة أو
المصدر: www.habr.com