Die Veröffentlichung der Version 12 von Sysmon wurde am 17. September um angekündigt . Tatsächlich wurden an diesem Tag auch neue Versionen von Process Monitor und ProcDump veröffentlicht. In diesem Artikel werde ich über die wichtigste und umstrittene Neuerung von Version 12 von Sysmon sprechen – die Art von Ereignissen mit der Ereignis-ID 24, in die die Arbeit mit der Zwischenablage protokolliert wird.
Informationen aus dieser Art von Ereignissen eröffnen neue Möglichkeiten zur Überwachung verdächtiger Aktivitäten (sowie neuer Schwachstellen). So können Sie nachvollziehen, wen, wo und was genau sie zu kopieren versucht haben. Unterhalb des Ausschnitts finden Sie eine Beschreibung einiger Bereiche des neuen Ereignisses und einiger Anwendungsfälle.
Das neue Ereignis enthält die folgenden Felder:
Bild: der Prozess, von dem aus Daten in die Zwischenablage geschrieben wurden.
Session: die Sitzung, in der die Zwischenablage geschrieben wurde. Es könnte system(0) sein
wenn Sie online oder remote arbeiten usw.
Kundeninfo: enthält den Benutzernamen der Sitzung und im Falle einer Remote-Sitzung den ursprünglichen Hostnamen und die IP-Adresse, sofern verfügbar.
Hashes: ermittelt den Namen der Datei, in der der kopierte Text gespeichert wurde (ähnlich wie bei der Arbeit mit Ereignissen vom Typ FileDelete).
Archiviert: Status, ob der Text aus der Zwischenablage im Sysmon-Archivverzeichnis gespeichert wurde.
Die letzten paar Felder sind alarmierend. Tatsache ist, dass Sysmon seit Version 11 (mit entsprechenden Einstellungen) verschiedene Daten in seinem Archivverzeichnis speichern kann. Beispielsweise protokolliert die Ereignis-ID 23 Dateilöschereignisse und kann sie alle im selben Archivverzeichnis speichern. Das CLIP-Tag wird dem Namen von Dateien hinzugefügt, die durch die Arbeit mit der Zwischenablage erstellt wurden. Die Dateien selbst enthalten genau die Daten, die in die Zwischenablage kopiert wurden.
So sieht die gespeicherte Datei aus
Das Speichern in einer Datei wird während der Installation aktiviert. Sie können Whitelists von Prozessen festlegen, für die kein Text gespeichert wird.
So sieht die Sysmon-Installation mit den entsprechenden Archivverzeichniseinstellungen aus:
Hier lohnt es sich meiner Meinung nach, an Passwort-Manager zu denken, die auch die Zwischenablage nutzen. Wenn Sie Sysmon auf einem System mit einem Passwort-Manager haben, können Sie (oder ein Angreifer) diese Passwörter erfassen. Vorausgesetzt, Sie wissen, welcher Prozess den kopierten Text zuordnet (und dies ist nicht immer der Passwort-Manager-Prozess, sondern möglicherweise ein Svchost), kann diese Ausnahme zur Whitelist hinzugefügt und nicht gespeichert werden.
Sie wissen es vielleicht nicht, aber der Text aus der Zwischenablage wird vom Remote-Server erfasst, wenn Sie im RDP-Sitzungsmodus dorthin wechseln. Wenn Sie etwas in Ihrer Zwischenablage haben und zwischen RDP-Sitzungen wechseln, werden diese Informationen mit Ihnen übertragen.
Fassen wir die Fähigkeiten von Sysmon für die Arbeit mit der Zwischenablage zusammen.
Fest:
- Textkopie des eingefügten Textes über RDP und lokal;
- Erfassen Sie Daten aus der Zwischenablage durch verschiedene Dienstprogramme/Prozesse;
- Text von/in die lokale virtuelle Maschine kopieren/einfügen, auch wenn dieser Text noch nicht eingefügt wurde.
Nicht aufgenommen:
- Kopieren/Einfügen von Dateien von/in eine lokale virtuelle Maschine;
- Dateien über RDP kopieren/einfügen
- Eine Malware, die Ihre Zwischenablage kapert, schreibt nur in die Zwischenablage selbst.
Trotz seiner Mehrdeutigkeit können Sie mit dieser Art von Ereignis den Aktionsalgorithmus des Angreifers wiederherstellen und dabei helfen, zuvor unzugängliche Daten für die Bildung von Post-Mortems nach Angriffen zu identifizieren. Wenn das Schreiben von Inhalten in die Zwischenablage weiterhin aktiviert ist, ist es wichtig, jeden Zugriff auf das Archivverzeichnis zu protokollieren und potenziell gefährliche Zugriffe zu identifizieren (nicht durch sysmon.exe initiiert).
Um die oben aufgeführten Ereignisse aufzuzeichnen, zu analysieren und darauf zu reagieren, können Sie das Tool nutzen , das alle drei Ansätze vereint und darüber hinaus ein effektives zentrales Repository aller gesammelten Rohdaten darstellt. Wir können die Integration mit gängigen SIEM-Systemen konfigurieren, um deren Lizenzkosten zu minimieren, indem wir die Verarbeitung und Speicherung der Rohdaten an InTrust übertragen.
Um mehr über InTrust zu erfahren, lesen Sie unsere vorherigen Artikel oder .
(beliebter Artikel)
Source: habr.com