O lanzamento da versión 12 de Sysmon anunciouse o 17 de setembro ás . De feito, este día tamén se lanzaron novas versións de Process Monitor e ProcDump. Neste artigo falarei sobre a innovación clave e controvertida da versión 12 de Sysmon: o tipo de eventos con ID de evento 24, no que se rexistra o traballo co portapapeis.
A información deste tipo de eventos abre novas oportunidades para controlar a actividade sospeitosa (así como novas vulnerabilidades). Así, podes entender quen, onde e que tentaron copiar exactamente. Debaixo do corte hai unha descrición dalgúns campos do novo evento e un par de casos de uso.
O novo evento contén os seguintes campos:
Imaxe: o proceso desde o cal se escribiron os datos no portapapeis.
Sesión: a sesión na que se escribiu o portapapeis. Pode ser sistema (0)
cando se traballa en liña ou a distancia, etc.
Información do cliente: contén o nome de usuario da sesión e, no caso dunha sesión remota, o nome de host e o enderezo IP orixinais, se está dispoñible.
Hash: determina o nome do ficheiro no que se gardou o texto copiado (semellante ao traballo con eventos do tipo FileDelete).
Arquivado: estado, se o texto do portapapeis foi gardado no directorio de arquivo de Sysmon.
O último par de campos son alarmantes. O caso é que desde a versión 11 Sysmon pode (coa configuración adecuada) gardar varios datos no seu directorio de arquivo. Por exemplo, o ID de evento 23 rexistra os eventos de eliminación de ficheiros e pode gardalos todos no mesmo directorio de arquivo. A etiqueta CLIP engádese ao nome dos ficheiros creados como resultado de traballar co portapapeis. Os propios ficheiros conteñen os datos exactos que se copiaron no portapapeis.
Este é o aspecto do ficheiro gardado
O gardar nun ficheiro está habilitado durante a instalación. Pode establecer listas brancas de procesos para os que non se gardará o texto.
Este é o aspecto da instalación de Sysmon coa configuración adecuada do directorio de arquivo:
Aquí, creo, paga a pena lembrar os xestores de contrasinais que tamén usan o portapapeis. Ter Sysmon nun sistema cun xestor de contrasinais permitirache a ti (ou a un atacante) capturar eses contrasinais. Asumindo que sabe que proceso está a asignar o texto copiado (e este non sempre é o proceso do xestor de contrasinais, pero quizais algún svchost), esta excepción pódese engadir á lista branca e non gardar.
Quizais non o saibas, pero o texto do portapapeis é capturado polo servidor remoto cando cambias a el no modo de sesión RDP. Se tes algo no teu portapapeis e cambias entre sesións RDP, esa información viaxará contigo.
Imos resumir as capacidades de Sysmon para traballar co portapapeis.
Fixado:
- Copia de texto do texto pegado a través de RDP e localmente;
- Captura datos do portapapeis mediante varias utilidades/procesos;
- Copia/pega texto desde/na máquina virtual local, aínda que este texto aínda non se pegue.
Non rexistrado:
- Copiar/pegar ficheiros desde/a unha máquina virtual local;
- Copiar/pegar ficheiros mediante RDP
- Un malware que secuestra o portapapeis só escribe no propio portapapeis.
A pesar da súa ambigüidade, este tipo de eventos permitirán restaurar o algoritmo de accións do atacante e axudará a identificar datos previamente inaccesibles para a formación de autopsias despois dos ataques. Se aínda está activada a escritura de contido no portapapeis, é importante rexistrar todos os accesos ao directorio de arquivo e identificar aqueles potencialmente perigosos (non iniciados por sysmon.exe).
Para gravar, analizar e reaccionar ante os eventos enumerados anteriormente, pode utilizar a ferramenta , que combina os tres enfoques e, ademais, é un repositorio centralizado eficaz de todos os datos en bruto recollidos. Podemos configurar a súa integración con sistemas SIEM populares para minimizar o custo da súa licenza transferindo o procesamento e almacenamento de datos en bruto a InTrust.
Para obter máis información sobre InTrust, lea os nosos artigos anteriores ou .
(artigo popular)
Fonte: www.habr.com
