La liberigo de la versio 12 de Sysmon estis anoncita la 17-an de septembro ĉe . Fakte, novaj versioj de Process Monitor kaj ProcDump ankaŭ estis publikigitaj en tiu ĉi tago. En ĉi tiu artikolo mi parolos pri la ŝlosila kaj polemika novigo de la versio 12 de Sysmon - la tipo de eventoj kun Event ID 24, en kiu laboro kun la tondujo estas registrita.
Informoj de ĉi tiu tipo de evento malfermas novajn ŝancojn por kontroli suspektindan agadon (same kiel novajn vundeblecojn). Do, vi povas kompreni kiun, kie kaj kion ĝuste ili provis kopii. Sub la tranĉo estas priskribo de kelkaj kampoj de la nova evento kaj kelkaj uzkazoj.
La nova evento enhavas la jenajn kampojn:
Bildo: la procezo de kiu datumoj estis skribitaj al la tondujo.
Sesio: la sesio en kiu la tondujo estis skribita. Ĝi povus esti sistemo (0)
kiam oni laboras interrete aŭ malproksime, ktp.
KlientoInfo: enhavas la sean uzantnomon kaj, en la kazo de fora sesio, la originan gastigan nomon kaj IP-adreson, se disponeblaj.
Hashes: determinas la nomon de la dosiero en kiu la kopiita teksto estis konservita (simila al labori kun eventoj de la tipo FileDelete).
Arkivita: stato, ĉu la teksto el la tondujo estis konservita en la arkiva dosierujo de Sysmon.
La lastaj du kampoj estas alarmaj. La fakto estas, ke ekde versio 11 Sysmon povas (kun taŭgaj agordoj) konservi diversajn datumojn al sia arkiva dosierujo. Ekzemple, Event ID 23 registras dosierajn forigajn eventojn kaj povas konservi ilin ĉiujn en la sama arkiva dosierujo. La CLIP-etikedo estas aldonita al la nomo de dosieroj kreitaj kiel rezulto de laboro kun la tondujo. La dosieroj mem enhavas la precizajn datumojn, kiuj estis kopiitaj al la tondujo.
Jen kiel aspektas la konservita dosiero
Konservado al dosiero estas ebligita dum instalado. Vi povas agordi blankajn listojn de procezoj por kiuj teksto ne estos konservita.
Jen kiel aspektas la instalado de Sysmon kun la taŭgaj arkivaj dosierujoj:
Ĉi tie, mi pensas, indas memori pasvortadministrantojn, kiuj ankaŭ uzas la tondujo. Havi Sysmon en sistemo kun pasvortmanaĝero permesos al vi (aŭ atakanto) kapti tiujn pasvortojn. Supozante, ke vi scias, kiu procezo asignas la kopiitan tekston (kaj ĉi tio ne ĉiam estas la pasvortmanaĝera procezo, sed eble iu svchost), ĉi tiu escepto povas esti aldonita al la blanka listo kaj ne konservita.
Vi eble ne scias, sed la teksto el la tondujo estas kaptita de la fora servilo kiam vi ŝanĝas al ĝi en RDP-sesioreĝimo. Se vi havas ion en via tondujo kaj vi ŝanĝas inter RDP-sesioj, tiuj informoj vojaĝos kun vi.
Ni resumu la kapablojn de Sysmon por labori kun la tondujo.
Fiksa:
- Teksta kopio de algluita teksto per RDP kaj loke;
- Kapti datumojn el la tondujo per diversaj utilecoj/procezoj;
- Kopiu/algluu tekston de/al la loka virtuala maŝino, eĉ se ĉi tiu teksto ankoraŭ ne estis algluita.
Ne registrite:
- Kopii/alglui dosierojn de/al loka virtuala maŝino;
- Kopiu/gluu dosierojn per RDP
- Malbonprogramo, kiu forkaptas vian tondujo, nur skribas al la tondujo mem.
Malgraŭ ĝia ambigueco, ĉi tiu tipo de evento permesos al vi restarigi la algoritmon de agoj de la atakanto kaj helpi identigi antaŭe nealireblajn datumojn por la formado de post-mortems post atakoj. Se skribi enhavon al la tondujo ankoraŭ estas ebligita, gravas registri ĉiun aliron al la arkiva dosierujo kaj identigi eble danĝerajn (ne iniciatitajn de sysmon.exe).
Por registri, analizi kaj reagi al la eventoj listigitaj supre, vi povas uzi la ilon , kiu kombinas ĉiujn tri alirojn kaj, krome, estas efika centralizita deponejo de ĉiuj kolektitaj krudaj datumoj. Ni povas agordi ĝian integriĝon kun popularaj SIEM-sistemoj por minimumigi la koston de ilia licencado transdonante la prilaboradon kaj stokadon de krudaj datumoj al InTrust.
Por lerni pli pri InTrust, legu niajn antaŭajn artikolojn aŭ .
(populara artikolo)
fonto: www.habr.com