انتشار نسخه 12 Sysmon در تاریخ 17 سپتامبر اعلام شد . در واقع نسخه های جدید Process Monitor و ProcDump نیز در این روز منتشر شد. در این مقاله در مورد نوآوری کلیدی و بحث برانگیز نسخه 12 Sysmon صحبت خواهم کرد - نوع رویدادهایی با Event ID 24 که کار با کلیپ بورد در آن ثبت شده است.
اطلاعات این نوع رویداد فرصتهای جدیدی را برای نظارت بر فعالیتهای مشکوک (و همچنین آسیبپذیریهای جدید) باز میکند. بنابراین، می توانید بفهمید که دقیقاً چه کسی، کجا و چه چیزی را کپی کرده اند. در زیر برش توضیحاتی در مورد برخی از زمینه های رویداد جدید و چند مورد استفاده آمده است.
رویداد جدید شامل فیلدهای زیر است:
تصویر: فرآیندی که از آن داده ها در کلیپ بورد نوشته شده است.
جلسه: جلسه ای که در آن کلیپ بورد نوشته شده است. این می تواند سیستم (0) باشد
هنگام کار آنلاین یا از راه دور و غیره
اطلاعات مشتری: شامل نام کاربری جلسه و در مورد یک جلسه راه دور، نام میزبان اصلی و آدرس IP، در صورت وجود.
هش ها: نام فایلی را تعیین می کند که متن کپی شده در آن ذخیره شده است (مشابه کار با رویدادهایی از نوع FileDelete).
آرشیو شده: وضعیت، اینکه آیا متن از کلیپ بورد در فهرست راهنمای بایگانی Sysmon ذخیره شده است.
دو میدان آخر هشدار دهنده هستند. واقعیت این است که از نسخه 11 Sysmon می تواند (با تنظیمات مناسب) داده های مختلف را در فهرست آرشیو خود ذخیره کند. به عنوان مثال، شناسه رویداد 23 رویدادهای حذف فایل را ثبت می کند و می تواند همه آنها را در یک فهرست بایگانی ذخیره کند. تگ CLIP به نام فایل های ایجاد شده در نتیجه کار با کلیپ بورد اضافه می شود. خود فایل ها حاوی اطلاعات دقیقی هستند که در کلیپ بورد کپی شده اند.
این چیزی است که فایل ذخیره شده به نظر می رسد
ذخیره در یک فایل در حین نصب فعال است. می توانید لیست سفید فرآیندهایی را که متن برای آنها ذخیره نمی شود تنظیم کنید.
این چیزی است که نصب Sysmon با تنظیمات دایرکتوری آرشیو مناسب به نظر می رسد:
در اینجا، من فکر می کنم، ارزش دارد که مدیران رمز عبور را که از کلیپ بورد نیز استفاده می کنند، به خاطر بسپاریم. وجود Sysmon در سیستمی با مدیر رمز عبور به شما (یا یک مهاجم) این امکان را می دهد که آن رمزهای عبور را ضبط کنید. با فرض اینکه می دانید کدام فرآیند متن کپی شده را تخصیص می دهد (و این همیشه فرآیند مدیر رمز عبور نیست، بلکه ممکن است مقداری svchost باشد)، این استثنا را می توان به لیست سفید اضافه کرد و ذخیره نکرد.
ممکن است ندانید، اما وقتی در حالت جلسه RDP به آن تغییر میدهید، متن از کلیپبورد توسط سرور راه دور ضبط میشود. اگر چیزی در کلیپبورد خود دارید و بین جلسات RDP جابهجا میشوید، آن اطلاعات با شما همراه میشود.
بیایید قابلیت های Sysmon را برای کار با کلیپ بورد خلاصه کنیم.
درست شد:
- کپی متنی از متن چسبانده شده از طریق RDP و به صورت محلی.
- گرفتن داده ها از کلیپ بورد توسط ابزارها / فرآیندهای مختلف.
- متن را از/به ماشین مجازی محلی کپی/پیست کنید، حتی اگر این متن هنوز جایگذاری نشده باشد.
ثبت نشده است:
- کپی / چسباندن فایل ها از / به یک ماشین مجازی محلی.
- فایل ها را از طریق RDP کپی/پیست کنید
- بدافزاری که کلیپ بورد شما را می رباید فقط در خود کلیپ بورد می نویسد.
با وجود ابهام، این نوع رویداد به شما امکان میدهد الگوریتم اقدامات مهاجم را بازیابی کنید و به شناسایی دادههای غیرقابل دسترس قبلی برای تشکیل پس از مرگ پس از حملات کمک کنید. اگر نوشتن محتوا در کلیپ بورد همچنان فعال است، مهم است که هر دسترسی به فهرست بایگانی را ضبط کنید و موارد بالقوه خطرناک را شناسایی کنید (آنهایی که توسط sysmon.exe آغاز نشده اند).
برای ضبط، تجزیه و تحلیل و واکنش به رویدادهای ذکر شده در بالا، می توانید از ابزار استفاده کنید ، که هر سه رویکرد را ترکیب می کند و علاوه بر این، یک مخزن متمرکز مؤثر از تمام داده های خام جمع آوری شده است. ما میتوانیم ادغام آن را با سیستمهای محبوب SIEM پیکربندی کنیم تا با انتقال پردازش و ذخیرهسازی دادههای خام به InTrust، هزینه صدور مجوز آنها را به حداقل برسانیم.
برای کسب اطلاعات بیشتر در مورد InTrust، مقالات قبلی ما را بخوانید یا .
(مقاله محبوب)
منبع: www.habr.com