Vydání verze 12 Sysmonu bylo oznámeno 17. září v hodin
Informace z tohoto typu událostí otevírají nové možnosti sledování podezřelé aktivity (a také nových zranitelností). Takže můžete pochopit, kdo, kde a co přesně se pokusili zkopírovat. Pod řezem je popis některých polí nové události a několik případů použití.
Nová událost obsahuje následující pole:
Obrázek: proces, ze kterého byla data zapsána do schránky.
Zasedání: relace, ve které byla schránka napsána. Může to být systém (0)
při práci online nebo vzdáleně atd.
Klientské informace: obsahuje uživatelské jméno relace a v případě vzdálené relace původní název hostitele a IP adresu, pokud jsou k dispozici.
hash: určuje název souboru, do kterého byl zkopírovaný text uložen (podobně jako při práci s událostmi typu FileDelete).
Archivováno: stav, zda byl text ze schránky uložen do adresáře archivu Sysmon.
Posledních pár polí je alarmující. Faktem je, že od verze 11 může Sysmon (s příslušným nastavením) ukládat různá data do svého archivního adresáře. Například ID události 23 zaznamenává události odstranění souboru a může je všechny uložit do stejného archivního adresáře. Značka CLIP se přidává k názvu souborů vytvořených jako výsledek práce se schránkou. Samotné soubory obsahují přesná data, která byla zkopírována do schránky.
Takto vypadá uložený soubor
Během instalace je povoleno ukládání do souboru. Můžete nastavit bílé seznamy procesů, u kterých se text nebude ukládat.
Takto vypadá instalace Sysmon s příslušným nastavením archivního adresáře:
Zde si myslím, že stojí za to pamatovat na správce hesel, kteří také používají schránku. Sysmon v systému se správcem hesel vám (nebo útočníkovi) umožní zachytit tato hesla. Za předpokladu, že víte, který proces přiděluje zkopírovaný text (a to není vždy proces správce hesel, ale možná nějaký svchost), lze tuto výjimku přidat na bílou listinu a neuložit ji.
Možná to nevíte, ale text ze schránky je zachycen vzdáleným serverem, když se na něj přepnete v režimu relace RDP. Pokud máte něco ve schránce a přepínáte mezi relacemi RDP, budou tyto informace cestovat s vámi.
Pojďme si shrnout možnosti Sysmonu pro práci se schránkou.
Pevný:
- Textová kopie vloženého textu přes RDP a lokálně;
- Zachyťte data ze schránky různými nástroji/procesy;
- Zkopírujte/vložte text z/do místního virtuálního počítače, i když tento text ještě nebyl vložen.
Nezaznamenáno:
- Kopírování/vkládání souborů z/do místního virtuálního stroje;
- Zkopírujte/vložte soubory přes RDP
- Malware, který unese vaši schránku, zapisuje pouze do schránky samotné.
Navzdory své nejednoznačnosti vám tento typ události umožní obnovit útočníkův algoritmus akcí a pomůže identifikovat dříve nepřístupná data pro vytvoření posmrtných útoků. Pokud je stále povolen zápis obsahu do schránky, je důležité zaznamenat každý přístup do adresáře archivu a identifikovat potenciálně nebezpečné (neiniciované sysmon.exe).
Chcete-li zaznamenávat, analyzovat a reagovat na události uvedené výše, můžete použít nástroj
Chcete-li se o InTrust dozvědět více, přečtěte si naše předchozí články popř
Zdroj: www.habr.com