Sysmon-un 12-ci versiyasının buraxılışı sentyabrın 17-də elan edildi . Əslində, Process Monitor və ProcDump-un yeni versiyaları da bu gün buraxıldı. Bu yazıda Sysmon-un 12-ci versiyasının əsas və mübahisəli yeniliyi haqqında danışacağam - buferlə işin daxil olduğu Event ID 24 olan hadisələr növü.
Bu tip hadisələrdən alınan məlumatlar şübhəli fəaliyyətə (həmçinin yeni zəifliklərə) nəzarət etmək üçün yeni imkanlar açır. Beləliklə, kimin, harada və nəyi kopyalamağa çalışdıqlarını başa düşə bilərsiniz. Kəsimin altında yeni hadisənin bəzi sahələrinin və bir neçə istifadə halının təsviri var.
Yeni hadisə aşağıdakı sahələri ehtiva edir:
Şəkil: məlumatların buferə yazıldığı proses.
Session: buferin yazıldığı sessiya. Sistem ola bilər(0)
onlayn və ya uzaqdan işləyərkən və s.
Müştəri Məlumatı: seans istifadəçi adını və uzaqdan seans olduğu halda, varsa, orijinal host adını və IP ünvanını ehtiva edir.
Haşlar: kopyalanan mətnin saxlandığı faylın adını müəyyən edir (FileDelete tipli hadisələrlə işləməyə bənzər).
Arxivləşdirilib: statusu, mübadilə buferindəki mətnin Sysmon arxiv kataloqunda saxlanılıb-saxlanmadığını.
Son bir neçə sahə həyəcan vericidir. Fakt budur ki, 11-ci versiyadan bəri Sysmon (müvafiq parametrlərlə) müxtəlif məlumatları arxiv qovluğunda saxlaya bilir. Məsələn, Event ID 23 faylın silinməsi hadisələrini qeyd edir və onların hamısını eyni arxiv kataloqunda saxlaya bilər. Buferlə işləmək nəticəsində yaranan faylların adına CLIP teqi əlavə edilir. Faylların özləri panoya kopyalanan dəqiq məlumatları ehtiva edir.
Saxlanılan fayl belə görünür
Quraşdırma zamanı faylda saxlama aktivləşdirilir. Siz mətnin saxlanmayacağı proseslərin ağ siyahılarını təyin edə bilərsiniz.
Sysmon quraşdırması müvafiq arxiv kataloqu parametrləri ilə belə görünür:
Burada, məncə, panodan istifadə edən parol menecerlərini də xatırlamağa dəyər. Parol meneceri olan sistemdə Sysmon-un olması sizə (və ya təcavüzkara) həmin parolları ələ keçirməyə imkan verəcək. Kopyalanan mətni hansı prosesin bölüşdürdüyünü bildiyinizi fərz etsək (və bu həmişə parol meneceri prosesi deyil, bəlkə də bəzi svchostdur), bu istisna ağ siyahıya əlavə edilə bilər və saxlanıla bilməz.
Bilməyə bilərsiniz, lakin siz RDP sessiya rejimində ona keçdiyiniz zaman buferdəki mətn uzaq server tərəfindən tutulur. Mübadilə buferinizdə bir şey varsa və RDP seansları arasında keçid etsəniz, bu məlumat sizinlə birlikdə gedəcək.
Sysmon-un mübadilə buferi ilə işləmək imkanlarını ümumiləşdirək.
Sabit:
- RDP vasitəsilə və yerli olaraq yapışdırılmış mətnin mətn surəti;
- Müxtəlif utilitlər/proseslər vasitəsilə mübadilə buferindən məlumatları ələ keçirin;
- Bu mətn hələ yapışdırılmamış olsa belə, mətni yerli virtual maşından kopyalayın/yapışdırın.
Qeydə alınmayıb:
- Faylların yerli virtual maşından kopyalanması/yapışdırılması;
- Faylları RDP vasitəsilə kopyalayın/yapışdırın
- Mübadilə buferinizi oğurlayan zərərli proqram yalnız buferin özünə yazır.
Qeyri-müəyyənliyinə baxmayaraq, bu cür hadisə sizə təcavüzkarın hərəkət alqoritmini bərpa etməyə imkan verəcək və hücumlardan sonra ölümdən sonrakı proseslərin formalaşması üçün əvvəllər əlçatmaz məlumatları müəyyən etməyə kömək edəcəkdir. Əgər məzmunun mübadilə buferinə yazılması hələ də aktivdirsə, arxiv qovluğuna hər girişi qeyd etmək və potensial təhlükəli olanları müəyyən etmək vacibdir (sysmon.exe tərəfindən işə salınmır).
Yuxarıda sadalanan hadisələri qeyd etmək, təhlil etmək və onlara reaksiya vermək üçün alətdən istifadə edə bilərsiniz , hər üç yanaşmanı özündə birləşdirən və əlavə olaraq, bütün toplanmış xam məlumatların effektiv mərkəzləşdirilmiş deposudur. Biz onun populyar SIEM sistemləri ilə inteqrasiyasını konfiqurasiya edə bilərik ki, xam məlumatların emalı və saxlanmasını InTrust-a ötürməklə onların lisenziyalaşdırma xərclərini minimuma endirək.
InTrust haqqında daha çox öyrənmək üçün əvvəlki məqalələrimizi oxuyun və ya .
(məşhur məqalə)
Mənbə: www.habr.com