Vydání verze 12 Sysmonu bylo oznámeno 17. září v hodin . Ve skutečnosti byly v tento den také vydány nové verze Process Monitor a ProcDump. V tomto článku budu hovořit o klíčové a kontroverzní novince verze 12 Sysmonu – typu událostí s Event ID 24, do kterých se přihlašuje práce se schránkou.
Informace z tohoto typu událostí otevírají nové možnosti sledování podezřelé aktivity (a také nových zranitelností). Takže můžete pochopit, kdo, kde a co přesně se pokusili zkopírovat. Pod řezem je popis některých polí nové události a několik případů použití.
Nová událost obsahuje následující pole:
Obrázek: proces, ze kterého byla data zapsána do schránky.
Zasedání: relace, ve které byla schránka napsána. Může to být systém (0)
při práci online nebo vzdáleně atd.
Klientské informace: obsahuje uživatelské jméno relace a v případě vzdálené relace původní název hostitele a IP adresu, pokud jsou k dispozici.
hash: určuje název souboru, do kterého byl zkopírovaný text uložen (podobně jako při práci s událostmi typu FileDelete).
Archivováno: stav, zda byl text ze schránky uložen do adresáře archivu Sysmon.
Posledních pár polí je alarmující. Faktem je, že od verze 11 může Sysmon (s příslušným nastavením) ukládat různá data do svého archivního adresáře. Například ID události 23 zaznamenává události odstranění souboru a může je všechny uložit do stejného archivního adresáře. Značka CLIP se přidává k názvu souborů vytvořených jako výsledek práce se schránkou. Samotné soubory obsahují přesná data, která byla zkopírována do schránky.
Takto vypadá uložený soubor
Během instalace je povoleno ukládání do souboru. Můžete nastavit bílé seznamy procesů, u kterých se text nebude ukládat.
Takto vypadá instalace Sysmon s příslušným nastavením archivního adresáře:
Zde si myslím, že stojí za to pamatovat na správce hesel, kteří také používají schránku. Sysmon v systému se správcem hesel vám (nebo útočníkovi) umožní zachytit tato hesla. Za předpokladu, že víte, který proces přiděluje zkopírovaný text (a to není vždy proces správce hesel, ale možná nějaký svchost), lze tuto výjimku přidat na bílou listinu a neuložit ji.
Možná to nevíte, ale text ze schránky je zachycen vzdáleným serverem, když se na něj přepnete v režimu relace RDP. Pokud máte něco ve schránce a přepínáte mezi relacemi RDP, budou tyto informace cestovat s vámi.
Pojďme si shrnout možnosti Sysmonu pro práci se schránkou.
Pevný:
- Textová kopie vloženého textu přes RDP a lokálně;
- Zachyťte data ze schránky různými nástroji/procesy;
- Zkopírujte/vložte text z/do místního virtuálního počítače, i když tento text ještě nebyl vložen.
Nezaznamenáno:
- Kopírování/vkládání souborů z/do místního virtuálního stroje;
- Zkopírujte/vložte soubory přes RDP
- Malware, který unese vaši schránku, zapisuje pouze do schránky samotné.
Navzdory své nejednoznačnosti vám tento typ události umožní obnovit útočníkův algoritmus akcí a pomůže identifikovat dříve nepřístupná data pro vytvoření posmrtných útoků. Pokud je stále povolen zápis obsahu do schránky, je důležité zaznamenat každý přístup do adresáře archivu a identifikovat potenciálně nebezpečné (neiniciované sysmon.exe).
Chcete-li zaznamenávat, analyzovat a reagovat na události uvedené výše, můžete použít nástroj , který kombinuje všechny tři přístupy a navíc je efektivním centralizovaným úložištěm všech shromážděných hrubých dat. Můžeme nakonfigurovat jeho integraci s oblíbenými systémy SIEM, abychom minimalizovali náklady na jejich licencování přenesením zpracování a ukládání nezpracovaných dat do InTrust.
Chcete-li se o InTrust dozvědět více, přečtěte si naše předchozí články popř .
(oblíbený článek)
Zdroj: www.habr.com