Izdanje verzije 12 Sysmona najavljeno je 17. septembra u . U stvari, nove verzije Process Monitora i ProcDump također su objavljene na ovaj dan. U ovom članku ću govoriti o ključnoj i kontroverznoj inovaciji verzije 12 Sysmona - tipu događaja sa Event ID 24, u koji se prijavljuje rad sa međuspremnikom.
Informacije iz ove vrste događaja otvaraju nove mogućnosti praćenja sumnjivih aktivnosti (kao i novih ranjivosti). Dakle, možete razumjeti ko je, gdje i šta tačno pokušao da kopira. Ispod reza je opis nekih polja novog događaja i nekoliko slučajeva korištenja.
Novi događaj sadrži sljedeća polja:
Slika: proces iz kojeg su podaci upisani u međuspremnik.
Sesija: sesija u kojoj je napisan međuspremnik. To može biti sistem (0)
kada radite na mreži ili na daljinu, itd.
Informacije o klijentu: sadrži korisničko ime sesije i, u slučaju udaljene sesije, originalno ime hosta i IP adresu, ako su dostupni.
Haševi: određuje ime datoteke u kojoj je kopirani tekst sačuvan (slično kao u radu sa događajima tipa FileDelete).
Arhivirano: status, da li je tekst iz međuspremnika sačuvan u Sysmon arhivskom direktorijumu.
Zadnjih nekoliko polja je alarmantno. Činjenica je da od verzije 11 Sysmon može (sa odgovarajućim postavkama) spremati različite podatke u svoj arhivski direktorij. Na primjer, Event ID 23 evidentira događaje brisanja datoteke i može ih sve spremiti u isti arhivski direktorij. Oznaka CLIP se dodaje imenu fajlova kreiranih kao rezultat rada sa međuspremnikom. Sami fajlovi sadrže tačne podatke koji su kopirani u međuspremnik.
Ovako izgleda sačuvani fajl
Snimanje u datoteku je omogućeno tokom instalacije. Možete postaviti bijele liste procesa za koje tekst neće biti pohranjen.
Ovako izgleda Sysmon instalacija s odgovarajućim postavkama arhivskog direktorija:
Ovdje, mislim, vrijedi se sjetiti menadžera lozinki koji također koriste međuspremnik. Imati Sysmon na sistemu sa upraviteljem lozinki omogućit će vam (ili napadaču) da uhvatite te lozinke. Pod pretpostavkom da znate koji proces dodeljuje kopirani tekst (a ovo nije uvek proces menadžera lozinki, već možda neki svchost), ovaj izuzetak se može dodati na belu listu i ne sačuvati.
Možda ne znate, ali tekst iz međuspremnika hvata udaljeni server kada se prebacite na njega u režimu RDP sesije. Ako imate nešto u međuspremniku i prelazite između RDP sesija, te informacije će putovati s vama.
Hajde da sumiramo mogućnosti Sysmona za rad sa međuspremnikom.
Popravljeno:
- Tekstualna kopija zalijepljenog teksta putem RDP-a i lokalno;
- Snimanje podataka iz međuspremnika pomoću raznih uslužnih programa/procesa;
- Kopirajte/zalijepite tekst sa/na lokalnu virtualnu mašinu, čak i ako ovaj tekst još nije zalijepljen.
Nije zabilježeno:
- Kopiranje/lijepljenje datoteka sa/na lokalnu virtuelnu mašinu;
- Kopirajte/zalijepite datoteke putem RDP-a
- Zlonamjerni softver koji otima vaš međuspremnik samo piše u sam međuspremnik.
Uprkos svojoj dvosmislenosti, ova vrsta događaja će vam omogućiti da vratite napadačev algoritam akcija i pomoći u identifikaciji ranije nedostupnih podataka za formiranje obdukcija nakon napada. Ako je pisanje sadržaja u međuspremnik i dalje omogućeno, važno je zabilježiti svaki pristup arhivskom direktoriju i identificirati potencijalno opasne (ne pokreće sysmon.exe).
Da biste snimili, analizirali i reagovali na gore navedene događaje, možete koristiti alat , koji kombinuje sva tri pristupa i, pored toga, predstavlja efikasno centralizovano skladište svih prikupljenih sirovih podataka. Možemo da konfigurišemo njegovu integraciju sa popularnim SIEM sistemima kako bismo minimizirali troškove njihovog licenciranja prenosom obrade i skladištenja neobrađenih podataka na InTrust.
Da biste saznali više o InTrustu, pročitajte naše prethodne članke ili .
(popularan članak)
izvor: www.habr.com