Sysmonin version 12 julkaisu julkistettiin 17. syyskuuta klo
Tämäntyyppisistä tapahtumista saatavat tiedot avaavat uusia mahdollisuuksia seurata epäilyttävää toimintaa (sekä uusia haavoittuvuuksia). Joten voit ymmärtää, kuka, missä ja mitä he yrittivät kopioida. Leikkauksen alla on kuvaus uuden tapahtuman joistakin kentistä ja pari käyttötapausta.
Uusi tapahtuma sisältää seuraavat kentät:
Kuva: prosessi, josta tiedot kirjoitettiin leikepöydälle.
Session: istunto, jossa leikepöytä kirjoitettiin. Se voi olla järjestelmä(0)
kun työskentelet verkossa tai etänä jne.
Asiakastiedot: sisältää istunnon käyttäjänimen ja, jos kyseessä on etäistunto, alkuperäisen isäntänimen ja IP-osoitteen, jos saatavilla.
Tiivisteet: määrittää sen tiedoston nimen, johon kopioitu teksti tallennettiin (samanlainen kuin FileDelete-tyyppisten tapahtumien käsittely).
Arkistoitu: tila, onko leikepöydän teksti tallennettu Sysmonin arkistohakemistoon.
Pari viimeistä kenttää ovat hälyttäviä. Tosiasia on, että versiosta 11 lähtien Sysmon voi (oikeilla asetuksilla) tallentaa erilaisia tietoja arkistohakemistoonsa. Esimerkiksi Tapahtumatunnus 23 kirjaa tiedostojen poistotapahtumat lokiin ja voi tallentaa ne kaikki samaan arkistohakemistoon. CLIP-tunniste lisätään leikepöydällä työskentelyn tuloksena luotujen tiedostojen nimiin. Itse tiedostot sisältävät tarkat tiedot, jotka kopioitiin leikepöydälle.
Tältä tallennettu tiedosto näyttää
Tallennus tiedostoon on käytössä asennuksen aikana. Voit asettaa valkoisia luetteloita prosesseista, joiden tekstiä ei tallenneta.
Sysmon-asennus näyttää tältä asianmukaisilla arkistohakemistoasetuksella:
Tässä on mielestäni syytä muistaa salasananhallintaohjelmat, jotka käyttävät myös leikepöytää. Sysmonin järjestelmässä, jossa on salasananhallinta, voit (tai hyökkääjä) siepata kyseiset salasanat. Olettaen, että tiedät, mikä prosessi varaa kopioitua tekstiä (ja tämä ei aina ole salasananhallintaprosessi, vaan ehkä jokin svchost), tämä poikkeus voidaan lisätä sallittujen luetteloon eikä tallentaa.
Et ehkä tiedä, mutta etäpalvelin kaappaa leikepöydän tekstin, kun vaihdat siihen RDP-istuntotilassa. Jos sinulla on jotain leikepöydälläsi ja vaihdat RDP-istuntojen välillä, tiedot kulkevat mukanasi.
Tehdään yhteenveto Sysmonin kyvyistä työskennellä leikepöydän kanssa.
Korjattu:
- Tekstikopio liitetystä tekstistä RDP:n kautta ja paikallisesti;
- Kaappaa tietoja leikepöydältä eri apuohjelmilla/prosesseilla;
- Kopioi/liitä tekstiä paikalliselta virtuaalikoneelta tai siihen, vaikka tätä tekstiä ei olisi vielä liitetty.
Ei tallennettu:
- Tiedostojen kopioiminen/liittäminen paikallisesta virtuaalikoneesta/-koneeseen;
- Kopioi/liitä tiedostot RDP:n kautta
- Haittaohjelma, joka kaappaa leikepöydän, kirjoittaa vain itse leikepöydälle.
Epäselvyydestään huolimatta tämän tyyppiset tapahtumat mahdollistavat hyökkääjän toiminta-algoritmin palauttamisen ja auttavat tunnistamaan aiemmin saavuttamattomissa olleet tiedot hyökkäysten jälkeisten kuolemantapausten muodostamiseksi. Jos sisällön kirjoittaminen leikepöydälle on edelleen käytössä, on tärkeää tallentaa kaikki pääsyt arkistohakemistoon ja tunnistaa mahdollisesti vaaralliset (jotka eivät ole sysmon.exe-ohjelman käynnistämiä).
Voit käyttää työkalua tallentaaksesi, analysoidaksesi ja reagoidaksesi yllä lueteltuihin tapahtumiin
Saat lisätietoja InTrustista lukemalla aiemmat artikkelimme tai
Lähde: will.com