ProHoster > بلوق > إدارة > يمكن لـ Sysmon الآن كتابة محتويات الحافظة

يمكن لـ Sysmon الآن كتابة محتويات الحافظة

تم الإعلان عن إصدار الإصدار 12 من Sysmon في 17 سبتمبر في صفحة Sysinternals. في الواقع ، تم إصدار إصدارات جديدة من Process Monitor و ProcDump في ذلك اليوم. في هذه المقالة ، سأتحدث عن الابتكار الرئيسي والمثير للجدل للإصدار 12 من Sysmon - وهو نوع حدث مع معرف الحدث 24 ، والذي يتم فيه تسجيل العمل مع الحافظة.

يمكن لـ Sysmon الآن كتابة محتويات الحافظة

تفتح المعلومات من هذا النوع من الأحداث طرقًا جديدة للتحكم في النشاط المشبوه (بالإضافة إلى نقاط الضعف الجديدة). لذلك ، يمكنك أن تفهم من ومن أين وماذا بالضبط حاولوا نسخه. تحت الخفض ، وصف لبعض الحقول الخاصة بالحدث الجديد وحالتين من حالات الاستخدام.

يحتوي الحدث الجديد على الحقول التالية:

صورة: العملية التي تمت كتابة بياناتها في الحافظة.
جلسة: الجلسة التي كتبت إلى الحافظة. يمكن أن يكون النظام (0)
عند العمل في الوضع التفاعلي أو البعيد ، إلخ.
معلومات العميل: يحتوي على اسم مستخدم الجلسة ، وفي حالة الجلسة البعيدة ، اسم المضيف الأصلي وعنوان IP ، إذا كان متاحًا.
تجزئة: يحدد اسم الملف الذي تم حفظ النص المنسوخ فيه (على غرار العمل مع أحداث من نوع FileDelete).
مؤرشف: الحالة ، سواء تم حفظ النص من الحافظة في دليل أرشيف Sysmon.

المجالان الأخيران ينذران بالخطر. الحقيقة هي أنه منذ الإصدار 11 Sysmon يمكنه (بالإعدادات المناسبة) حفظ بيانات مختلفة في دليل الأرشيف الخاص به. على سبيل المثال ، يسجل Event ID 23 أحداث حذف الملفات ويمكنه حفظها جميعًا في نفس دليل الأرشيف. تتم إضافة علامة CLIP إلى اسم الملفات التي تم إنشاؤها نتيجة للعمل مع الحافظة. تحتوي الملفات نفسها على البيانات الدقيقة التي تم نسخها إلى الحافظة.

هذا ما يبدو عليه الملف المحفوظ
يمكن لـ Sysmon الآن كتابة محتويات الحافظة

يتم تمكين الحفظ في ملف أثناء التثبيت. يمكنك تعيين القوائم البيضاء للعمليات التي لن يتم حفظ النص من أجلها.

هذا ما يبدو عليه تثبيت Sysmon مع إعداد دليل الأرشيف المناسب:
يمكن لـ Sysmon الآن كتابة محتويات الحافظة

هنا ، أعتقد أنه من الجدير تذكر مديري كلمات المرور الذين يستخدمون أيضًا الحافظة. سيسمح لك وجود Sysmon على نظام به مدير كلمات مرور (أو مهاجم) بالتقاط كلمات المرور هذه. بافتراض أنك تعرف العملية التي تخصص النص المنسوخ (وهذه ليست دائمًا عملية إدارة كلمات المرور ، ولكن ربما بعض svchost) ، يمكن إضافة هذا الاستثناء إلى القائمة البيضاء وعدم حفظه.

ربما لم تكن تعرف ذلك ، ولكن يتم التقاط النص من الحافظة بواسطة الخادم البعيد عند التبديل إليه في وضع جلسة RDP. إذا كان لديك شيء ما في الحافظة الخاصة بك وقمت بالتبديل بين جلسات RDP ، فستنتقل هذه المعلومات معك.

دعونا نلخص قدرات حافظة Sysmon.

مُثَبَّت:

  • نسخة نصية من النص الملصق عبر RDP ومحليًا ؛
  • التقاط البيانات من الحافظة بواسطة أدوات / عمليات مختلفة ؛
  • نسخ / لصق نص من / إلى الجهاز الظاهري المحلي ، حتى لو لم يتم لصق النص بعد.

لم تحل:

  • نسخ / لصق الملفات من / إلى الجهاز الظاهري المحلي ؛
  • نسخ / لصق الملفات عبر RDP
  • البرامج الضارة التي تخطف الحافظة الخاصة بك لا تكتب إلا إلى الحافظة نفسها.

على الرغم من غموضه ، سيسمح لك هذا النوع من الأحداث باستعادة خوارزمية إجراءات المهاجم والمساعدة في تحديد البيانات التي كان يتعذر الوصول إليها سابقًا لتشكيل حالات ما بعد الوفاة بعد الهجمات. إذا كانت كتابة المحتوى إلى الحافظة لا تزال ممكّنة ، فمن المهم تسجيل كل وصول إلى دليل الأرشيف وتحديد تلك التي يحتمل أن تكون خطرة (لم يبدأها sysmon.exe).

يمكنك استخدام الأداة لالتقاط الأحداث المذكورة أعلاه وتحليلها والرد عليها إنتراست، الذي يجمع بين جميع الأساليب الثلاثة ، بالإضافة إلى أنه مستودع مركزي فعال لجميع البيانات الأولية التي تم جمعها. يمكننا إعداد تكامله مع أنظمة SIEM الشائعة لتقليل تكلفة الترخيص عن طريق نقل معالجة البيانات الخام وتخزينها إلى InTrust.

لمعرفة المزيد حول InTrust ، اقرأ مقالاتنا السابقة أو اترك طلبًا في نموذج الملاحظات.

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)

قم بتمكين مجموعة الأحداث المتعلقة بإطلاق العمليات المشبوهة في Windows واكتشاف التهديدات باستخدام Quest InTrust

كيف يمكن أن يساعد InTrust في تقليل حالات فشل تسجيل الدخول إلى RDP

نحدد هجوم فيروس الفدية ونحصل على حق الوصول إلى وحدة تحكم المجال ونحاول مقاومة هذه الهجمات

ما يمكن أن يكون مفيدًا من سجلات محطة العمل استنادًا إلى نظام التشغيل Windows (مقال شعبي)

ومن فعلها؟ نقوم بأتمتة تدقيق أمن المعلومات

المصدر: www.habr.com

إضافة تعليق