El lanzamiento de la versión 12 de Sysmon se anunció el 17 de septiembre a las . De hecho, ese día también se lanzaron nuevas versiones de Process Monitor y ProcDump. En este artículo hablaré sobre la innovación clave y controvertida de la versión 12 de Sysmon: el tipo de eventos con ID de evento 24, en los que se registra el trabajo con el portapapeles.
La información de este tipo de eventos abre nuevas oportunidades para monitorear actividades sospechosas (así como nuevas vulnerabilidades). Así podrás entender quién, dónde y qué exactamente intentaron copiar. Debajo del corte hay una descripción de algunos campos del nuevo evento y un par de casos de uso.
El nuevo evento contiene los siguientes campos:
Imagen: el proceso desde el cual se escribieron los datos en el portapapeles.
Sesión: la sesión en la que se escribió el portapapeles. Podría ser el sistema (0)
cuando se trabaja en línea o de forma remota, etc.
Información del cliente: contiene el nombre de usuario de la sesión y, en el caso de una sesión remota, el nombre de host original y la dirección IP, si están disponibles.
Hachís: determina el nombre del archivo en el que se guardó el texto copiado (similar a trabajar con eventos del tipo FileDelete).
Archivado: estado, si el texto del portapapeles se guardó en el directorio de archivos de Sysmon.
Los últimos dos campos son alarmantes. El hecho es que desde la versión 11 Sysmon puede (con la configuración adecuada) guardar varios datos en su directorio de archivo. Por ejemplo, el ID de evento 23 registra los eventos de eliminación de archivos y puede guardarlos todos en el mismo directorio de archivo. La etiqueta CLIP se agrega al nombre de los archivos creados como resultado de trabajar con el portapapeles. Los archivos en sí contienen los datos exactos que se copiaron en el portapapeles.
Así es como se ve el archivo guardado
Guardar en un archivo se habilita durante la instalación. Puede configurar listas blancas de procesos para los cuales no se guardará texto.
Así es como se ve la instalación de Sysmon con la configuración del directorio de archivo adecuada:
Creo que aquí vale la pena recordar los administradores de contraseñas que también utilizan el portapapeles. Tener Sysmon en un sistema con un administrador de contraseñas le permitirá a usted (o a un atacante) capturar esas contraseñas. Suponiendo que sabe qué proceso está asignando el texto copiado (y este no siempre es el proceso del administrador de contraseñas, sino tal vez algún svchost), esta excepción se puede agregar a la lista blanca y no guardarse.
Puede que no lo sepas, pero el servidor remoto captura el texto del portapapeles cuando cambias a él en el modo de sesión RDP. Si tiene algo en su portapapeles y cambia entre sesiones RDP, esa información viajará con usted.
Resumamos las capacidades de Sysmon para trabajar con el portapapeles.
Fijado:
- Copia de texto del texto pegado a través de RDP y localmente;
- Capture datos del portapapeles mediante diversas utilidades/procesos;
- Copie/pegue texto desde/hacia la máquina virtual local, incluso si este texto aún no se ha pegado.
No registrado:
- Copiar/pegar archivos desde/hacia una máquina virtual local;
- Copiar/pegar archivos a través de RDP
- Un malware que secuestra su portapapeles solo escribe en el portapapeles.
A pesar de su ambigüedad, este tipo de evento permitirá restaurar el algoritmo de acciones del atacante y ayudará a identificar datos previamente inaccesibles para la formación de autopsias después de los ataques. Si la escritura de contenido en el portapapeles todavía está habilitada, es importante registrar cada acceso al directorio de archivo e identificar los potencialmente peligrosos (no iniciados por sysmon.exe).
Para registrar, analizar y reaccionar ante los eventos enumerados anteriormente, puede utilizar la herramienta , que combina los tres enfoques y, además, es un depósito centralizado eficaz de todos los datos sin procesar recopilados. Podemos configurar su integración con sistemas SIEM populares para minimizar el costo de sus licencias transfiriendo el procesamiento y almacenamiento de datos sin procesar a InTrust.
Para obtener más información sobre InTrust, lea nuestros artículos anteriores o .
(artículo popular)
Fuente: habr.com