Sysmon-en 12. bertsioaren kaleratzea irailaren 17an iragarri zen . Izan ere, Process Monitor eta ProcDump-en bertsio berriak ere kaleratu ziren egun honetan. Artikulu honetan Sysmon-en 12. bertsioaren berrikuntza gako eta polemikoari buruz hitz egingo dut - Gertaera ID 24ko gertaera motari buruz, zeinetan arbelarekin lanak erregistratzen diren.
Ekitaldi mota honetako informazioak aukera berriak irekitzen ditu jarduera susmagarriak (baita ahultasun berriak) kontrolatzeko. Beraz, ulertu dezakezu nor, non eta zer kopiatzen saiatu diren. Ebakiaren azpian gertaera berriaren eremu batzuen deskribapena eta erabilera kasu pare bat daude.
Gertaera berriak eremu hauek ditu:
Image: datuak arbelean idazteko prozesua.
Saioa: arbela idatzi den saioa. Sistema izan daiteke (0)
sarean edo urrunetik lan egiten duzunean, etab.
Bezeroaren informazioa: saioaren erabiltzaile-izena eta, urruneko saio baten kasuan, jatorrizko ostalari-izena eta IP helbidea ditu, eskuragarri egonez gero.
Hashak: kopiatutako testua gorde den fitxategiaren izena zehazten du (Fitxategi Ezabatu motako gertaerekin lan egitearen antzera).
Artxibatua: egoera, arbeleko testua Sysmon artxibo-direktorioan gorde den ala ez.
Azken bi eremuak kezkagarriak dira. Izan ere, 11 bertsiotik Sysmon-ek (ezarpen egokiekin) hainbat datu gorde ditzake bere artxibo-direktorioan. Adibidez, Gertaera ID 23-k fitxategiak ezabatzeko gertaerak erregistratzen ditu eta guztiak artxibo-direktorio berean gorde ditzake. CLIP etiketa arbelarekin lan egitearen ondorioz sortutako fitxategien izenari gehitzen zaio. Fitxategiek beraiek arbelean kopiatutako datu zehatzak dituzte.
Hau da gordetako fitxategiaren itxura
Fitxategi batean gordetzea gaituta dago instalazioan. Testua gordeko ez den prozesuen zerrenda zuriak ezar ditzakezu.
Hau da Sysmon instalazioaren itxura artxibo-direktorioaren ezarpen egokiekin:
Hemen, nire ustez, merezi du arbela ere erabiltzen duten pasahitzen kudeatzaileak gogoratzea. Sysmon pasahitz kudeatzailea duen sistema batean edukitzeak pasahitz horiek harrapatzeko aukera emango dizu (edo erasotzaile bati). Kopiatutako testua zein prozesu esleitzen ari den dakizula suposatuz (eta hau ez da beti pasahitzen kudeatzailearen prozesua, baina agian svchost batzuk), salbuespen hau zerrenda zurira gehi daiteke eta ez gorde.
Agian ez dakizu, baina arbeleko testua urruneko zerbitzariak harrapatzen du RDP saio moduan aldatzen duzunean. Arbelean zerbait baduzu eta RDP saio batetik bestera aldatzen bazara, informazio hori zurekin joango da.
Laburtu ditzagun Sysmon-ek arbelarekin lan egiteko dituen gaitasunak.
Konpondu:
- Itsatsitako testuaren testu kopia RDP bidez eta lokalean;
- Hartu arbeletik datuak hainbat utilitate/prozesuren bidez;
- Kopiatu/itsatsi testua tokiko makina birtualetik/era, testu hau oraindik itsatsi ez bada ere.
Grabatu gabea:
- Fitxategiak tokiko makina birtual batetik kopiatzea/itsatsi;
- Kopiatu/itsatsi fitxategiak RDP bidez
- Zure arbela bahitzen duen malware batek arbelean bertan bakarrik idazten du.
Anbiguotasuna izan arren, gertaera mota honek erasotzailearen ekintzen algoritmoa berrezartzeko aukera emango du eta erasoen ondoren autopsiak eratzeko aurretik eskuraezinak diren datuak identifikatzen lagunduko dizu. Arbelean edukia idaztea oraindik gaituta badago, garrantzitsua da artxibo-direktoriorako sarbide guztiak grabatzea eta arriskutsuak izan daitezkeenak identifikatzea (sysmon.exe-k abiarazi ez dituenak).
Goian zerrendatutako gertaerak grabatzeko, aztertzeko eta erreakzionatzeko, tresna erabil dezakezu , hiru ikuspegiak konbinatzen dituena eta, horrez gain, bildutako datu gordina guztien biltegi zentralizatu eraginkorra da. SIEM sistema ezagunekin integratzea konfigura dezakegu haien lizentzien kostua minimizatzeko, datu gordinak prozesatzea eta biltegiratzea InTrust-era transferituz.
InTrust-i buruz gehiago jakiteko, irakurri gure aurreko artikuluak edo .
(artikulu ezaguna)
Iturria: www.habr.com