Chaidh foillseachadh dreach 12 de Sysmon ainmeachadh air 17 Sultain aig . Gu dearbh, chaidh dreachan ùra de Process Monitor agus ProcDump fhoillseachadh air an latha seo cuideachd. San artaigil seo bruidhnidh mi mu phrìomh ùr-ghnàthachadh connspaideach dreach 12 de Sysmon - an seòrsa thachartasan le Event ID 24, anns a bheil obair leis a’ bhòrd-chlàir air a chlàradh.
Bidh fiosrachadh bhon t-seòrsa tachartas seo a’ fosgladh chothroman ùra gus sùil a chumail air gnìomhachd amharasach (a bharrachd air so-leòntachd ùra). Mar sin, tuigidh tu cò, càite agus dè dìreach a dh’ fheuch iad ri lethbhreac a dhèanamh. Fon gearradh tha tuairisgeul air cuid de raointean den tachartas ùr agus cùis cleachdaidh no dhà.
Tha na raointean a leanas anns an tachartas ùr:
Ìomhaigh: am pròiseas bhon deach dàta a sgrìobhadh chun a’ bhòrd bhidio.
Seisean: an t-seisean anns an deach an clàr-bùird a sgrìobhadh. Dh’ fhaodadh gur e siostam (0) a th’ ann
nuair a bhios tu ag obair air-loidhne no air astar, msaa.
Fiosrachadh Cliant: anns a bheil ainm-cleachdaidh an t-seisein agus, a thaobh seisean iomallach, an t-ainm aoigheachd tùsail agus an seòladh IP, ma tha sin ri fhaighinn.
hashes: a’ dearbhadh ainm an fhaidhle anns an deach an teacsa a chaidh a chopaigeadh a shàbhaladh (coltach ri bhith ag obair le tachartasan den t-seòrsa FileDelete).
Tasglann: inbhe, co-dhiù an deach an teacsa bhon chlàr-gearraidh a shàbhaladh ann an eòlaire tasglann Sysmon.
Tha an dà raon mu dheireadh eagallach. Is e an fhìrinn, leis gun urrainn dha dreach 11 Sysmon (le suidheachaidhean iomchaidh) diofar dàta a shàbhaladh don eòlaire tasglann aige. Mar eisimpleir, bidh Event ID 23 a’ clàradh tachartasan cuir às do fhaidhlichean agus is urrainn dhaibh uile a shàbhaladh san aon eòlaire tasglann. Tha an taga CLIP air a chur ri ainm fhaidhlichean a chaidh a chruthachadh mar thoradh air a bhith ag obair leis a’ bhòrd bhidio. Anns na faidhlichean fhèin tha an dearbh dàta a chaidh a chopaigeadh chun a’ bhòrd bhidio.
Seo mar a tha am faidhle a chaidh a shàbhaladh coltach
Tha sàbhaladh gu faidhle air a chomasachadh rè an stàlaidh. Faodaidh tu liostaichean geal de phròiseasan a shuidheachadh airson nach tèid teacsa a shàbhaladh.
Seo mar a tha stàladh Sysmon coltach leis na roghainnean eòlaire tasglann iomchaidh:
An seo, tha mi a’ smaoineachadh, is fhiach cuimhneachadh air manaidsearan facal-faire a bhios cuideachd a’ cleachdadh a’ bhòrd bhidio. Le bhith a’ faighinn Sysmon air siostam le manaidsear facal-faire leigidh sin dhut (no neach-ionnsaigh) na faclan-faire sin a ghlacadh. Leis gu bheil fios agad dè am pròiseas a tha a’ riarachadh an teacsa a chaidh a chopaigeadh (agus chan e seo am pròiseas manaidsear facal-faire an-còmhnaidh, ach is dòcha cuid svchost), faodar an eisgeachd seo a chuir ris an liosta gheal agus gun a shàbhaladh.
Is dòcha nach eil fios agad, ach thèid an teacsa bhon chlàr-bùird a ghlacadh leis an fhrithealaiche iomallach nuair a thionndaidheas tu thuige ann am modh seisean RDP. Ma tha rudeigin agad air a’ bhòrd bhidio agad agus gun gluais thu eadar seiseanan RDP, siùbhlaidh am fiosrachadh sin leat.
Bheir sinn geàrr-chunntas air comasan Sysmon airson a bhith ag obair leis a’ bhòrd bhidio.
Stèidhichte:
- Leth-bhreac teacsa de theacsa pasted tro RDP agus gu h-ionadail;
- Glac dàta bhon bhòrd bhidio le diofar ghoireasan / phròiseasan;
- Dèan lethbhreac/pasgan teacsa bho/chun an inneal mas-fhìor ionadail, fiù 's ged nach deach an teacsa seo a chur seachad fhathast.
Gun chlàradh:
- A’ dèanamh lethbhreac/pasgan de fhaidhlichean bho/gu inneal brìgheil ionadail;
- Dèan lethbhreac / pasg air faidhlichean tro RDP
- Bidh malware a bhios a’ toirt thairis do bhòrd bhidio a-mhàin a’ sgrìobhadh chun a’ bhòrd bhidio fhèin.
A dh’ aindeoin cho mì-chinnteach ‘s a tha e, leigidh an seòrsa tachartas seo leat algairim ghnìomhan an neach-ionnsaigh a thoirt air ais agus cuideachadh le bhith ag aithneachadh dàta nach robh ruigsinneach roimhe airson post-mortems a chruthachadh às deidh ionnsaighean. Ma tha sgrìobhadh susbaint chun a’ bhòrd bhidio fhathast air a chomasachadh, tha e cudromach gach cothrom air an eòlaire tasglann a chlàradh agus feadhainn a dh’ fhaodadh a bhith cunnartach a chomharrachadh (nach deach a thòiseachadh le sysmon.exe).
Gus na tachartasan gu h-àrd a chlàradh, a sgrùdadh agus freagairt a thoirt dhaibh, faodaidh tu an inneal a chleachdadh , a tha a’ cothlamadh nan trì dòighean-obrach agus, a bharrachd air sin, a tha na stòr meadhanaichte èifeachdach den dàta amh a chaidh a chruinneachadh. Is urrainn dhuinn an aonachadh le siostaman SIEM mòr-chòrdte a rèiteachadh gus cosgais an ceadachd a lughdachadh le bhith a’ gluasad giollachd agus stòradh dàta amh gu InTrust.
Gus barrachd ionnsachadh mu InTrust, leugh na h-artaigilean againn roimhe no .
(artaigil mòr-chòrdte)
Source: www.habr.com