ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Ang Sysmon makahimo na sa pagsulat sa sulod sa clipboard

Ang Sysmon makahimo na sa pagsulat sa sulod sa clipboard

Ang pagpagawas sa bersyon 12 sa Sysmon gipahibalo kaniadtong Setyembre 17 sa Sysinternals panid. Sa tinuud, ang mga bag-ong bersyon sa Process Monitor ug ProcDump gipagawas usab karong adlawa. Niini nga artikulo maghisgot ako bahin sa yawe ug kontrobersyal nga pagbag-o sa bersyon 12 sa Sysmon - ang tipo sa mga panghitabo nga adunay ID sa Panghitabo 24, diin ang pagtrabaho kauban ang clipboard naka-log.

Ang Sysmon makahimo na sa pagsulat sa sulod sa clipboard

Ang impormasyon gikan sa niini nga matang sa panghitabo nagbukas sa bag-ong mga oportunidad sa pagmonitor sa mga kadudahang kalihokan (ingon man usab sa bag-ong mga kahuyangan). Busa, masabtan nimo kung kinsa, asa ug unsa gyud ang ilang gisulayan nga kopyahon. Ubos sa pagputol usa ka paghulagway sa pipila ka mga natad sa bag-ong panghitabo ug usa ka pares nga mga kaso sa paggamit.

Ang bag-ong panghitabo naglangkob sa mosunod nga mga natad:

Image: ang proseso diin ang datos gisulat sa clipboard.
Session: ang sesyon diin gisulat ang clipboard. Mahimo kini nga sistema (0)
kung nagtrabaho online o layo, etc.
Impormasyon sa Kliyente: naglangkob sa username sa sesyon ug, sa kaso sa usa ka hilit nga sesyon, ang orihinal nga hostname ug IP address, kung anaa.
Hashes: nagtino sa ngalan sa file diin ang gikopya nga teksto gitipigan (sama sa pagtrabaho sa mga panghitabo sa tipo nga FileDelete).
Gi-archive: status, kung ang teksto gikan sa clipboard gitipigan sa Sysmon archive directory.

Ang katapusan nga magtiayon nga mga uma nakapaalarma. Ang tinuod mao nga sukad nga ang bersyon 11 Sysmon mahimo (uban ang angay nga mga setting) makatipig sa lainlaing mga datos sa direktoryo sa archive niini. Pananglitan, ang Event ID 23 nag-log sa mga panghitabo sa pagtangtang sa mga file ug mahimo silang i-save ang tanan sa parehas nga direktoryo sa archive. Ang CLIP tag gidugang sa ngalan sa mga file nga gihimo isip resulta sa pagtrabaho sa clipboard. Ang mga file mismo naglangkob sa eksaktong datos nga gikopya sa clipboard.

Mao kini ang hitsura sa na-save nga file
Ang Sysmon makahimo na sa pagsulat sa sulod sa clipboard

Ang pagtipig sa usa ka file gipalihok sa panahon sa pag-instalar. Mahimo nimong ibutang ang puti nga mga lista sa mga proseso diin ang teksto dili ma-save.

Kini ang hitsura sa pag-install sa Sysmon sa angay nga mga setting sa direktoryo sa archive:
Ang Sysmon makahimo na sa pagsulat sa sulod sa clipboard

Dinhi, sa akong hunahuna, angay nga hinumdoman ang mga tagdumala sa password nga gigamit usab ang clipboard. Ang pagbaton sa Sysmon sa usa ka sistema nga adunay tagdumala sa password magtugot kanimo (o usa ka tig-atake) nga makuha ang mga password. Sa paghunahuna nga nahibal-an nimo kung unsang proseso ang naggahin sa gikopya nga teksto (ug dili kini kanunay nga proseso sa tagdumala sa password, apan tingali pipila ka svchost), kini nga eksepsiyon mahimong idugang sa puti nga lista ug dili maluwas.

Tingali wala ka mahibal-an, apan ang teksto gikan sa clipboard nakuha sa hilit nga server kung imong gibalhin kini sa mode nga sesyon sa RDP. Kung naa kay butang sa imong clipboard ug mubalhin ka sa mga sesyon sa RDP, kana nga impormasyon mobiyahe uban nimo.

Atong i-summarize ang mga kapabilidad ni Sysmon sa pagtrabaho kauban ang clipboard.

Naayo:

  • Teksto nga kopya sa gipapilit nga teksto pinaagi sa RDP ug lokal;
  • Pagkuha sa datos gikan sa clipboard pinaagi sa lainlaing mga gamit/proseso;
  • Kopyaha/paste ang teksto gikan/ngadto sa lokal nga virtual machine, bisan kung kini nga teksto wala pa ma-paste.

Wala natala:

  • Pagkopya/pag-paste sa mga file gikan/ngadto sa lokal nga virtual machine;
  • Kopyaha/idikit ang mga file pinaagi sa RDP
  • Ang malware nga mo-hijack sa imong clipboard mosulat lang sa clipboard mismo.

Bisan pa sa pagkadili klaro niini, kini nga matang sa panghitabo magtugot kanimo sa pagpasig-uli sa algorithm sa mga aksyon sa tig-atake ug makatabang sa pag-ila kaniadto nga dili ma-access nga datos alang sa pagporma sa mga post-mortem human sa mga pag-atake. Kung ang pagsulat sa sulud sa clipboard mahimo gihapon, hinungdanon nga irekord ang matag pag-access sa direktoryo sa archive ug mailhan ang mga peligro nga peligro (wala gisugdan sa sysmon.exe).

Sa pagrekord, pag-analisar ug pagtubag sa mga panghitabo nga gilista sa ibabaw, mahimo nimong gamiton ang himan InTrust, nga naghiusa sa tanan nga tulo ka mga pamaagi ug, dugang pa, usa ka epektibo nga sentralisadong repository sa tanan nga nakolekta nga hilaw nga datos. Mahimo namon nga i-configure ang pag-integrate niini sa mga sikat nga sistema sa SIEM aron mapaminusan ang gasto sa ilang paglilisensya pinaagi sa pagbalhin sa pagproseso ug pagtipig sa hilaw nga datos sa InTrust.

Aron mahibal-an ang dugang bahin sa InTrust, basaha ang among miaging mga artikulo o magbilin ug hangyo sa feedback form.

Giunsa makunhuran ang gasto sa pagpanag-iya sa usa ka sistema sa SIEM ug ngano nga kinahanglan nimo ang Central Log Management (CLM)

Gitugotan namon ang pagkolekta sa mga panghitabo bahin sa paglansad sa mga kadudahang proseso sa Windows ug nahibal-an ang mga hulga gamit ang Quest InTrust

Giunsa ang InTrust makatabang sa pagpakunhod sa rate sa napakyas nga mga pagsulay sa pagtugot pinaagi sa RDP

Namatikdan namo ang pag-atake sa ransomware, nakaangkon og access sa domain controller ug naningkamot sa pagsukol niini nga mga pag-atake

Unsa nga mapuslanon nga mga butang ang makuha gikan sa mga log sa usa ka workstation nga nakabase sa Windows? (popular nga artikulo)

Kinsa ang nagbuhat niini? Gi-automate namo ang pag-audit sa seguridad sa impormasyon

Source: www.habr.com

Idugang sa usa ka comment