Sysmon вече може да записва съдържание на клипборда

Пускането на версия 12 на Sysmon беше обявено на 17 септември на Страница Sysinternals. Всъщност на този ден бяха пуснати и нови версии на Process Monitor и ProcDump. В тази статия ще говоря за ключовата и спорна иновация на версия 12 на Sysmon - типът събития с Event ID 24, в които се записва работата с клипборда.

Информацията от този тип събития разкрива нови възможности за наблюдение на подозрителна дейност (както и нови уязвимости). Така че можете да разберете кой, къде и какво точно се е опитал да копира. Под изрязването има описание на някои полета на новото събитие и няколко случая на употреба.

Новото събитие съдържа следните полета:

На снимката: процесът, от който данните са записани в клипборда.
Сесия: сесията, в която е записан клипборда. Може да е система(0)
при работа онлайн или от разстояние и др.
Информация за клиента: съдържа потребителското име на сесията и, в случай на отдалечена сесия, оригиналното име на хост и IP адрес, ако има такива.
Хешове: определя името на файла, в който е записан копираният текст (подобно на работата със събития от типа FileDelete).
Архивирано: състояние, дали текстът от клипборда е бил записан в архивната директория на Sysmon.

Последните няколко полета са тревожни. Факт е, че от версия 11 Sysmon може (с подходящи настройки) да записва различни данни в своята архивна директория. Например, Event ID 23 регистрира събития за изтриване на файл и може да ги запише всички в една и съща архивна директория. Тагът CLIP се добавя към името на файловете, създадени в резултат на работа с клипборда. Самите файлове съдържат точните данни, които са били копирани в клипборда.

Ето как изглежда запазеният файл

Запазването във файл е разрешено по време на инсталацията. Можете да зададете бели списъци с процеси, за които текстът няма да бъде запазен.

Ето как изглежда инсталацията на Sysmon със съответните настройки на архивната директория:

Тук мисля, че си струва да си припомним мениджърите на пароли, които също използват клипборда. Наличието на Sysmon в система с мениджър на пароли ще ви позволи (или на атакуващ) да прихванете тези пароли. Ако приемем, че знаете кой процес разпределя копирания текст (и това не винаги е процесът на мениджъра на пароли, а може би някакъв svchost), това изключение може да бъде добавено към белия списък и да не бъде запазено.

Може да не знаете, но текстът от клипборда се улавя от отдалечения сървър, когато превключите към него в режим на RDP сесия. Ако имате нещо в клипборда си и превключвате между RDP сесии, тази информация ще пътува с вас.

Нека обобщим възможностите на Sysmon за работа с клипборда.

Фиксиран:

• Текстово копие на поставен текст чрез RDP и локално;
• Заснемане на данни от клипборда чрез различни помощни програми/процеси;
• Копирайте/поставете текст от/към локалната виртуална машина, дори ако този текст все още не е поставен.

Не е записано:

• Копиране/поставяне на файлове от/към локална виртуална машина;
• Копиране/поставяне на файлове чрез RDP
• Зловреден софтуер, който отвлича вашия клипборд, записва само в самия клипборд.

Въпреки своята двусмисленост, този тип събитие ще ви позволи да възстановите алгоритъма на действията на атакуващия и да помогнете за идентифицирането на недостъпни по-рано данни за формиране на след смъртта след атаки. Ако записването на съдържание в клипборда все още е разрешено, важно е да записвате всеки достъп до архивната директория и да идентифицирате потенциално опасните (които не са инициирани от sysmon.exe).

За да записвате, анализирате и реагирате на събитията, изброени по-горе, можете да използвате инструмента InTrust, който съчетава и трите подхода и в допълнение е ефективно централизирано хранилище на всички събрани необработени данни. Можем да конфигурираме неговата интеграция с популярни SIEM системи, за да минимизираме разходите за тяхното лицензиране, като прехвърлим обработката и съхранението на необработени данни към InTrust.

За да научите повече за InTrust, прочетете предишните ни статии или оставете заявка във формата за обратна връзка.

Как да намалите разходите за притежание на SIEM система и защо имате нужда от Central Log Management (CLM)

Разрешаваме събирането на събития за стартиране на подозрителни процеси в Windows и идентифицираме заплахи с помощта на Quest InTrust

Как InTrust може да помогне за намаляване на процента на неуспешни опити за авторизация чрез RDP

Откриваме ransomware атака, получаваме достъп до домейн контролера и се опитваме да устоим на тези атаки

Какво може да бъде полезно от регистрационните файлове на работна станция, базирана на Windows OS (популярна статия)

И кой го направи? Ние автоматизираме одита на информационната сигурност

Източник: www.habr.com