Аб рэлізе 12 версіі Sysmon паведамілі 17 верасня на . Насамрэч у гэты дзень выйшлі таксама новыя версіі Process Monitor і ProcDump. У гэтым артыкуле я распавяду пра ключавое і неадназначнае новаўвядзенне 12 версіі Sysmon — тып падзей з Event ID 24, у які лагуецца праца з буферам абмену.
Інфармацыя з гэтага тыпу падзей адкрывае новыя магчымасці кантролю за падазронай актыўнасцю (а таксама новыя ўразлівасці). Так, вы зможаце разумець хто, адкуль і што менавіта спрабавалі скапіяваць. Пад катом апісанне некаторых палёў новай падзеі і парачка юзкейсаў.
Новая падзея змяшчае наступныя палі:
Да: працэс, дадзеныя з якога былі запісаныя ў буфер абмену.
сесія: сеанс, у якім выканалася запіс у буфер абмену. Гэта можа быць system(0)
пры працы ў інтэрактыўным ці выдаленым рэжыме і т.д.
ClientInfo: утрымоўвае імя карыстача сеансу, а ў выпадку выдаленага сеансу - зыходнае імя хаста і IP-адрас, калі гэтыя дадзеныя даступныя.
Хэшы: вызначае імя файла, у якім быў захаваны скапіяваны тэкст (аналагічна працы з падзеямі тыпу FileDelete).
У архіве: статус, ці быў захаваны тэкст з буфера абмену ў архіўнай дырэкторыі Sysmon.
Пары апошніх палёў выклікаюць трывогу. Справа ў тым, што з версіі 11 Sysmon можа (пры адпаведных наладах) захоўваць розныя дадзеныя ў сваю архіўную дырэкторыю. Напрыклад, Event ID 23 лагуе ў сябе падзеі па выдаленні файлаў і можа іх захоўваць усё ў той жа архіўнай дырэкторыі. Да імя файлаў, створаных у выніку працы з буферам абмену, дадаецца тэг CLIP. Самі файлы ўтрымоўваюць дакладныя дадзеныя, якія былі скапіяваныя ў буфер абмену.
Так выглядае захаваны файл
Захаванне ў файл уключаецца пры ўсталёўцы. Можна ўстанаўліваць белыя спісы працэсаў, па якіх тэкст захоўвацца не будзе.
Так выглядае ўстаноўка Sysmon з адпаведнай настройкай архіўнай дырэкторыі:
Тут, я думаю, варта ўспомніць аб мэнэджэрах пароляў, якія таксама выкарыстоўваюць буфер абмену. Наяўнасць Sysmon у сістэме з мэнэджарам пароляў дазволіць вам (ці зламысніку) захопліваць гэтыя паролі. Калі дапусціць, што вам вядома які менавіта працэс алакуе скапіяваны тэкст (а гэта не заўсёды працэс мэнэджара пароляў, а можа быць які-небудзь svchost), гэтае выключэнне можна дадаць у белы спіс і не захоўваць.
Можа вы не ведалі, але тэкст з буфера абмену захопліваецца выдаленым серверам пры пераключэнні на яго ў рэжыме сеансу RDP. Калі ў вас ёсць нешта ў буферы абмену і вы пераключаецеся паміж сеансамі RDP, гэтая інфармацыя будзе падарожнічаць з вамі.
Падвядзем вынік магчымасцяў Sysmon па працы з буферам абмену.
Фіксуюцца:
- Тэкставая копія ўстаўляемага тэксту праз RDP і лакальна;
- захоп дадзеных з буфера абмену рознымі ўтылітамі/працэсамі;
- Капіраванне/устаўка тэксту з/на лакальную віртуальную машыну, нават калі гэты тэкст яшчэ не быў устаўлены.
Не фіксуюцца:
- Капіяванне/устаўка файлаў з/на лакальную віртуальную машыну;
- Капіраванне/устаўка файлаў праз RDP
- Шкодная праграма, якая захапляе ваш буфер абмену, запісвае толькі ў сам буфер абмену.
Пры ўсёй сваёй неадназначнасці, гэты тып падзей дазволіць аднавіць алгарытм дзеянняў зламысніка і дапаможа выявіць раней недаступныя дадзеныя для фармавання постмарцёмаў пасля нападаў. Калі запіс змесціва ў буфер абмену ўсё ж уключаны, важна фіксаваць кожны факт доступу да архіўнай дырэкторыі і выяўляць патэнцыйна небяспечныя (ініцыяваныя не sysmon.exe).
Для фіксацыі, аналізу і рэакцыі на пералічаныя вышэй падзеі можна выкарыстоўваць прыладу , які спалучае ў сабе ўсе тры падыходы і, да таго ж, з'яўляецца эфектыўным цэнтралізаваным сховішчам усіх сабраных сырых дадзеных. Мы можам наладзіць яго інтэграцыю з папулярнымі SIEM-сістэмамі для мінімізацыі выдаткаў на іх ліцэнзійнае забеспячэнне за рахунак пераносу апрацоўкі і захоўванні волкіх дадзеных у InTrust.
Каб даведацца падрабязней пра InTrust, прачытайце нашы папярэднія артыкулы або .
(папулярны артыкул)
Крыніца: habr.com