El llançament de la versió 12 de Sysmon es va anunciar el 17 de setembre a les . De fet, aquest dia també es van publicar noves versions de Process Monitor i ProcDump. En aquest article parlaré de la innovació clau i controvertida de la versió 12 de Sysmon: el tipus d'esdeveniments amb Event ID 24, en què es registra el treball amb el porta-retalls.
La informació d'aquest tipus d'esdeveniments obre noves oportunitats per controlar activitats sospitoses (així com noves vulnerabilitats). Així, podeu entendre qui, on i què van intentar copiar exactament. A sota del tall hi ha una descripció d'alguns camps del nou esdeveniment i un parell de casos d'ús.
El nou esdeveniment conté els camps següents:
Imatge: el procés des del qual s'han escrit les dades al porta-retalls.
Sessió: la sessió en què s'ha escrit el porta-retalls. Podria ser sistema (0)
quan es treballa en línia o a distància, etc.
Informació del client: conté el nom d'usuari de la sessió i, en el cas d'una sessió remota, el nom d'amfitrió i l'adreça IP originals, si estan disponibles.
Hash: determina el nom del fitxer en què s'ha desat el text copiat (similar al treball amb esdeveniments del tipus FileDelete).
Arxivat: status, si el text del porta-retalls s'ha desat al directori d'arxiu Sysmon.
Els últims dos camps són alarmants. El fet és que des de la versió 11 Sysmon pot (amb la configuració adequada) desar diverses dades al seu directori d'arxiu. Per exemple, l'ID d'esdeveniment 23 registra els esdeveniments d'eliminació de fitxers i els pot desar tots al mateix directori d'arxiu. L'etiqueta CLIP s'afegeix al nom dels fitxers creats com a resultat de treballar amb el porta-retalls. Els mateixos fitxers contenen les dades exactes que es van copiar al porta-retalls.
Així es veu el fitxer desat
Desar en un fitxer està habilitat durant la instal·lació. Podeu establir llistes blanques de processos per als quals no es desarà el text.
Aquest és el aspecte de la instal·lació de Sysmon amb la configuració adequada del directori d'arxiu:
Aquí, crec, val la pena recordar els gestors de contrasenyes que també utilitzen el porta-retalls. Tenir Sysmon en un sistema amb un gestor de contrasenyes us permetrà (o un atacant) capturar aquestes contrasenyes. Suposant que sabeu quin procés està assignant el text copiat (i aquest no sempre és el procés del gestor de contrasenyes, però potser algun svchost), aquesta excepció es pot afegir a la llista blanca i no desar-la.
Potser no ho sabeu, però el text del porta-retalls és capturat pel servidor remot quan el canvieu en mode de sessió RDP. Si teniu alguna cosa al porta-retalls i canvieu entre sessions RDP, aquesta informació viatjarà amb vosaltres.
Resumim les capacitats de Sysmon per treballar amb el porta-retalls.
Corregit:
- Còpia de text del text enganxat mitjançant RDP i localment;
- Captureu dades del porta-retalls mitjançant diverses utilitats/processos;
- Copieu/enganxeu text des de/a la màquina virtual local, encara que aquest text encara no s'hagi enganxat.
No gravat:
- Copiar/enganxar fitxers des/a una màquina virtual local;
- Copieu i enganxeu fitxers mitjançant RDP
- Un programari maliciós que segresta el porta-retalls només escriu al porta-retalls.
Malgrat la seva ambigüitat, aquest tipus d'esdeveniments permetrà restaurar l'algorisme d'accions de l'atacant i ajudarà a identificar dades prèviament inaccessibles per a la formació d'autopsies després dels atacs. Si l'escriptura de contingut al porta-retalls encara està activada, és important enregistrar tots els accessos al directori d'arxiu i identificar els potencialment perillosos (no iniciats per sysmon.exe).
Per gravar, analitzar i reaccionar als esdeveniments enumerats anteriorment, podeu utilitzar l'eina , que combina els tres enfocaments i, a més, és un dipòsit centralitzat eficaç de totes les dades en brut recollides. Podem configurar la seva integració amb sistemes SIEM populars per minimitzar el cost de la seva llicència transferint el processament i l'emmagatzematge de dades en brut a InTrust.
Per obtenir més informació sobre InTrust, llegiu els nostres articles anteriors o .
(article popular)
Font: www.habr.com