🥇Sysmon-ը այժմ կարող է գրել սեղմատախտակի պարունակությունը

Sysmon-ի 12-րդ տարբերակի թողարկումը հայտարարվեց սեպտեմբերի 17-ին, ժամը՝ Sysinternals էջ. Իրականում, այս օրը թողարկվեցին նաև Process Monitor-ի և ProcDump-ի նոր տարբերակները։ Այս հոդվածում ես կխոսեմ Sysmon-ի 12-րդ տարբերակի հիմնական և վիճահարույց նորարարության՝ 24 Event ID ունեցող իրադարձության տեսակի մասին, որի գրանցամատյանները աշխատում են սեղմատախտակի հետ։

Այս տեսակի իրադարձություններից ստացված տեղեկատվությունը բացում է նոր հնարավորություններ կասկածելի գործունեության (ինչպես նաև նոր խոցելիությունների) մոնիթորինգի համար։ Այսպիսով, դուք կկարողանաք հասկանալ, թե ովքեր, որտեղ և ինչ են նրանք փորձել ընդօրինակել։ Կտրվածքի ներքևում նոր իրադարձության որոշ դաշտերի նկարագրությունն է և մի քանի օգտագործման դեպքեր։

Նոր իրադարձությունը պարունակում է հետևյալ դաշտերը՝

Պատկեր: գործընթացը, որի միջոցով տվյալները գրվել են սեղմատախտակում։
Սեմինար. սեսիան, որի ընթացքում կատարվել է սեղմատախտակում գրառումը։ Դա կարող է լինել համակարգ(0)
ինտերակտիվ կամ հեռակա աշխատելիս և այլն:
Հաճախորդի տեղեկատվություն՝ Պարունակում է սեսիայի օգտատիրոջ անունը և, հեռակա սեսիայի դեպքում, սկզբնական հոսթի անունը և IP հասցեն, եթե հասանելի է։
Հեշեր՝ սահմանում է այն ֆայլի անունը, որում պահպանվել է պատճենված տեքստը (նման է FileDelete տիպի իրադարձությունների հետ աշխատելուն):
Արխիվացված: կարգավիճակը, թե արդյոք սեղմատախտակից տեքստը պահպանվել է Sysmon-ի արխիվային գրացուցակում։

Վերջին մի քանի դաշտերը մտահոգիչ են։ Բանն այն է, որ 11-րդ տարբերակից սկսած՝ Sysmon-ը կարող է (համապատասխան կարգավորումներով) տարբեր տվյալներ պահպանել իր արխիվային գրացուցակում։ Օրինակ, Event ID 23-ը գրանցում է ֆայլերի ջնջման իրադարձությունները և կարող է դրանք պահպանել նույն արխիվային պանակում։ CLIP պիտակը ավելացվում է clipboard-ի հետ աշխատելու արդյունքում ստեղծված ֆայլերի անվանը։ Ֆայլերն իրենք պարունակում են ճշգրիտ տվյալները, որոնք պատճենվել են սեղմատախտակին։

Ահա թե ինչ տեսք ունի պահպանված ֆայլը

Ֆայլում պահպանումը միացված է տեղադրման ընթացքում։ Կարող եք սահմանել այն գործընթացների սպիտակ ցուցակներ, որոնց տեքստը չի պահպանվի։

Ահա թե ինչ տեսք ունի Sysmon-ի տեղադրումը՝ համապատասխան արխիվային գրացուցակի կարգավորումներով.

Այստեղ, կարծում եմ, արժե հիշել գաղտնաբառերի կառավարիչների մասին, որոնք նույնպես օգտագործում են սեղմատախտակը։ Sysmon-ի առկայությունը գաղտնաբառերի կառավարիչով համակարգում թույլ կտա ձեզ (կամ հարձակվողին) գրանցել այդ գաղտնաբառերը։ Եթե ենթադրենք, որ դուք գիտեք, թե որ պրոցեսն է հատկացնում պատճենված տեքստը (և սա միշտ չէ, որ գաղտնաբառերի կառավարիչ պրոցես է, այլ կարող է լինել որևէ svchost), այս բացառությունը կարող է ավելացվել սպիտակ ցուցակին և չպահպանվել։

Դուք գուցե չգիտեք, բայց սեղմատախտակից տեքստը ձայնագրվում է հեռակա սերվերի կողմից, երբ դուք անցնում եք դրան RDP նստաշրջանի ռեժիմում: Եթե դուք ինչ-որ բան ունեք սեղմատախտակում և անցնում եք RDP նիստերի միջև, այդ տեղեկատվությունը կփոխադրվի ձեզ հետ։

Եկեք ամփոփենք Sysmon-ի հնարավորությունները clipboard-ի հետ աշխատելու համար։

Հետևյալը գրանցվում է.

Տեղադրված տեքստի տեքստային պատճեն RDP-ի և տեղականի միջոցով;
Տվյալների հավաքագրում սեղմատախտակից՝ օգտագործելով տարբեր օգտակար ծրագրեր/գործընթացներ։
Տեքստը պատճենել/տեղադրել տեղական վիրտուալ մեքենայից/տեղադրել, նույնիսկ եթե տեքստը դեռ չի տեղադրվել։

Չի գրանցվել՝

Պատճենել/տեղադրել ֆայլերը տեղական վիրտուալ մեքենայից/դեպի։
Պատճենեք/տեղադրեք ֆայլերը RDP-ի միջոցով
Ձեր սեղմատախտակը ներխուժող վնասակար ծրագիրը գրում է միայն հենց սեղմատախտակի վրա։

Չնայած իր երկիմաստությանը, այս տեսակի իրադարձությունը թույլ կտա մեզ վերակառուցել հարձակվողի գործողությունների ալգորիթմը և կօգնի բացահայտել նախկինում անհասանելի տվյալները՝ հարձակումներից հետո հետմահու եզրակացություններ կազմելու համար։ Եթե բովանդակության գրանցումը սեղմատախտակում միացված է, կարևոր է գրանցել արխիվային գրացուցակ մուտք գործելու յուրաքանչյուր փաստ և նույնականացնել պոտենցիալ վտանգավորները (որոնք չեն նախաձեռնվել sysmon.exe-ի կողմից):

Վերը թվարկված իրադարձությունները գրանցելու, վերլուծելու և դրանց արձագանքելու համար կարող եք օգտագործել գործիքը ԻնՎաստ, որը համատեղում է բոլոր երեք մոտեցումները և, բացի այդ, հանդիսանում է հավաքված բոլոր հում տվյալների արդյունավետ կենտրոնացված պահոց։ Մենք կարող ենք ինտեգրել այն հայտնի SIEM համակարգերի հետ՝ նվազագույնի հասցնելու դրանց լիցենզավորման ծախսերը՝ նախնական տվյալների մշակումը և պահպանումը փոխանցելով InTrust-ին։

InTrust-ի մասին ավելին իմանալու համար կարդացեք մեր նախորդ հոդվածները կամ թողեք հարցում հետադարձ կապի ձևաթղթում.

Ինչպե՞ս նվազեցնել SIEM համակարգի սեփականության արժեքը և ինչու է ձեզ անհրաժեշտ Կենտրոնական մատյանների կառավարում (CLM)

Մենք հնարավորություն ենք տալիս հավաքել կասկածելի գործընթացների մեկնարկի վերաբերյալ իրադարձություններ Windows և նույնականացնել սպառնալիքները՝ օգտագործելով Quest InTrust-ը

Ինչպես InTrust-ը կարող է օգնել նվազեցնել RDP-ի միջոցով թույլտվության ձախողված փորձերի մակարդակը

Մենք հայտնաբերում ենք փրկագին հարձակումը, մուտք ենք ստանում տիրույթի վերահսկիչ և փորձում ենք դիմակայել այդ հարձակումներին

Ի՞նչ օգտակար տեղեկություններ կարելի է արդյունահանել ՕՀ-ի վրա հիմնված աշխատանքային կայանի գրանցամատյաններից։ Windows (հանրաճանաչ հոդված)

Իսկ ո՞վ է դա արել։ Մենք ավտոմատացնում ենք տեղեկատվական անվտանգության աուդիտը

Source: www.habr.com