Sysmonin version 12 julkaisu julkistettiin 17. syyskuuta klo . Itse asiassa uudet versiot Process Monitorista ja ProcDumpista julkaistiin myös tänä päivänä. Tässä artikkelissa puhun Sysmonin version 12 keskeisestä ja kiistanalaisesta innovaatiosta - tapahtumatyypeistä, joissa on Event ID 24, johon työ leikepöydällä kirjataan.
Tämäntyyppisistä tapahtumista saatavat tiedot avaavat uusia mahdollisuuksia seurata epäilyttävää toimintaa (sekä uusia haavoittuvuuksia). Joten voit ymmärtää, kuka, missä ja mitä he yrittivät kopioida. Leikkauksen alla on kuvaus uuden tapahtuman joistakin kentistä ja pari käyttötapausta.
Uusi tapahtuma sisältää seuraavat kentät:
Kuva: prosessi, josta tiedot kirjoitettiin leikepöydälle.
Session: istunto, jossa leikepöytä kirjoitettiin. Se voi olla järjestelmä(0)
kun työskentelet verkossa tai etänä jne.
Asiakastiedot: sisältää istunnon käyttäjänimen ja, jos kyseessä on etäistunto, alkuperäisen isäntänimen ja IP-osoitteen, jos saatavilla.
Tiivisteet: määrittää sen tiedoston nimen, johon kopioitu teksti tallennettiin (samanlainen kuin FileDelete-tyyppisten tapahtumien käsittely).
Arkistoitu: tila, onko leikepöydän teksti tallennettu Sysmonin arkistohakemistoon.
Pari viimeistä kenttää ovat hälyttäviä. Tosiasia on, että versiosta 11 lähtien Sysmon voi (oikeilla asetuksilla) tallentaa erilaisia tietoja arkistohakemistoonsa. Esimerkiksi Tapahtumatunnus 23 kirjaa tiedostojen poistotapahtumat lokiin ja voi tallentaa ne kaikki samaan arkistohakemistoon. CLIP-tunniste lisätään leikepöydällä työskentelyn tuloksena luotujen tiedostojen nimiin. Itse tiedostot sisältävät tarkat tiedot, jotka kopioitiin leikepöydälle.
Tältä tallennettu tiedosto näyttää
Tallennus tiedostoon on käytössä asennuksen aikana. Voit asettaa valkoisia luetteloita prosesseista, joiden tekstiä ei tallenneta.
Sysmon-asennus näyttää tältä asianmukaisilla arkistohakemistoasetuksella:
Tässä on mielestäni syytä muistaa salasananhallintaohjelmat, jotka käyttävät myös leikepöytää. Sysmonin järjestelmässä, jossa on salasananhallinta, voit (tai hyökkääjä) siepata kyseiset salasanat. Olettaen, että tiedät, mikä prosessi varaa kopioitua tekstiä (ja tämä ei aina ole salasananhallintaprosessi, vaan ehkä jokin svchost), tämä poikkeus voidaan lisätä sallittujen luetteloon eikä tallentaa.
Et ehkä tiedä, mutta etäpalvelin kaappaa leikepöydän tekstin, kun vaihdat siihen RDP-istuntotilassa. Jos sinulla on jotain leikepöydälläsi ja vaihdat RDP-istuntojen välillä, tiedot kulkevat mukanasi.
Tehdään yhteenveto Sysmonin kyvyistä työskennellä leikepöydän kanssa.
Korjattu:
- Tekstikopio liitetystä tekstistä RDP:n kautta ja paikallisesti;
- Kaappaa tietoja leikepöydältä eri apuohjelmilla/prosesseilla;
- Kopioi/liitä tekstiä paikalliselta virtuaalikoneelta tai siihen, vaikka tätä tekstiä ei olisi vielä liitetty.
Ei tallennettu:
- Tiedostojen kopioiminen/liittäminen paikallisesta virtuaalikoneesta/-koneeseen;
- Kopioi/liitä tiedostot RDP:n kautta
- Haittaohjelma, joka kaappaa leikepöydän, kirjoittaa vain itse leikepöydälle.
Epäselvyydestään huolimatta tämän tyyppiset tapahtumat mahdollistavat hyökkääjän toiminta-algoritmin palauttamisen ja auttavat tunnistamaan aiemmin saavuttamattomissa olleet tiedot hyökkäysten jälkeisten kuolemantapausten muodostamiseksi. Jos sisällön kirjoittaminen leikepöydälle on edelleen käytössä, on tärkeää tallentaa kaikki pääsyt arkistohakemistoon ja tunnistaa mahdollisesti vaaralliset (jotka eivät ole sysmon.exe-ohjelman käynnistämiä).
Voit käyttää työkalua tallentaaksesi, analysoidaksesi ja reagoidaksesi yllä lueteltuihin tapahtumiin , joka yhdistää kaikki kolme lähestymistapaa ja on lisäksi tehokas keskitetty arkisto kaikista kerätyistä raakatiedoista. Voimme konfiguroida sen integroinnin suosittujen SIEM-järjestelmien kanssa minimoimaan niiden lisensointikustannukset siirtämällä raakadatan käsittelyn ja tallennuksen InTrustiin.
Saat lisätietoja InTrustista lukemalla aiemmat artikkelimme tai .
(suosittu artikkeli)
Lähde: will.com