ProHoster > Օրագիր > Վարչակազմը > Sysmon-ն այժմ կարող է գրել clipboard-ի բովանդակություն

Sysmon-ն այժմ կարող է գրել clipboard-ի բովանդակություն

Sysmon-ի 12-րդ տարբերակի թողարկման մասին հայտարարվել է սեպտեմբերի 17-ին ժ Sysinternals էջ. Փաստորեն, այս օրը թողարկվեցին նաև Process Monitor-ի և ProcDump-ի նոր տարբերակները: Այս հոդվածում ես կխոսեմ Sysmon-ի 12-րդ տարբերակի առանցքային և հակասական նորարարության մասին՝ իրադարձությունների այն տեսակի մասին, որն ունի Իրադարձության ID 24, որի մեջ մուտքագրված է սեղմատախտակի հետ աշխատանքը:

Sysmon-ն այժմ կարող է գրել clipboard-ի բովանդակություն

Այս տեսակի իրադարձություններից ստացված տեղեկատվությունը նոր հնարավորություններ է բացում կասկածելի գործունեության (ինչպես նաև նոր խոցելիության) մոնիտորինգի համար: Այսպիսով, դուք կարող եք հասկանալ, թե կոնկրետ ում, որտեղ և ինչ են փորձել պատճենել։ Կտրվածքի ներքևում ներկայացված է նոր իրադարձության որոշ դաշտերի և մի քանի օգտագործման դեպքերի նկարագրություն:

Նոր իրադարձությունը պարունակում է հետևյալ դաշտերը.

Պատկեր: գործընթացը, որից տվյալները գրվել են clipboard-ում:
Սեմինար. նիստը, որում գրվել է clipboard-ը: Դա կարող է լինել համակարգ (0)
առցանց կամ հեռակա աշխատանքի ժամանակ և այլն:
ClientInfo: պարունակում է նստաշրջանի օգտանունը և, հեռակա սեսիայի դեպքում, սկզբնական հոսթի անունը և IP հասցեն, եթե առկա է:
Հեշ: որոշում է ֆայլի անունը, որում պահվել է պատճենված տեքստը (նման է FileDelete տեսակի իրադարձությունների հետ աշխատելուն):
Արխիվացված: կարգավիճակը, արդյոք սեղմատախտակի տեքստը պահպանվել է Sysmon արխիվային գրացուցակում:

Վերջին երկու դաշտերը տագնապալի են. Փաստն այն է, որ 11 տարբերակից ի վեր Sysmon-ը կարող է (համապատասխան կարգավորումներով) պահպանել տարբեր տվյալներ իր արխիվային գրացուցակում: Օրինակ, Իրադարձության ID 23-ը գրանցում է ֆայլերի ջնջման իրադարձությունները և կարող է դրանք բոլորը պահել նույն արխիվային գրացուցակում: CLIP թեգը ավելացվում է clipboard-ի հետ աշխատելու արդյունքում ստեղծված ֆայլերի անվանմանը։ Ֆայլերն իրենք են պարունակում ճշգրիտ տվյալներ, որոնք պատճենվել են clipboard-ում:

Ահա թե ինչ տեսք ունի պահված ֆայլը
Sysmon-ն այժմ կարող է գրել clipboard-ի բովանդակություն

Ֆայլում պահելը միացված է տեղադրման ժամանակ: Դուք կարող եք սահմանել գործընթացների սպիտակ ցուցակներ, որոնց համար տեքստը չի պահպանվի:

Ահա թե ինչ տեսք ունի Sysmon-ի տեղադրումը համապատասխան արխիվային գրացուցակի կարգավորումներով.
Sysmon-ն այժմ կարող է գրել clipboard-ի բովանդակություն

Այստեղ, կարծում եմ, արժե հիշել գաղտնաբառերի կառավարիչներին, որոնք նույնպես օգտագործում են clipboard: Sysmon-ի առկայությունը գաղտնաբառերի կառավարիչ ունեցող համակարգում թույլ կտա ձեզ (կամ հարձակվողին) գրավել այդ գաղտնաբառերը: Ենթադրելով, որ դուք գիտեք, թե որ գործընթացն է հատկացնում պատճենված տեքստը (և սա միշտ չէ, որ գաղտնաբառերի կառավարչի գործընթացն է, բայց գուցե որոշ svchost), այս բացառությունը կարող է ավելացվել սպիտակ ցուցակում և չպահվել:

Դուք կարող եք չգիտեք, բայց clipboard-ի տեքստը ֆիքսվում է հեռավոր սերվերի կողմից, երբ միանում եք դրան RDP նիստի ռեժիմում: Եթե ​​դուք ինչ-որ բան ունեք ձեր clipboard-ում և փոխարկվում եք RDP նիստերի միջև, այդ տեղեկատվությունը ձեզ հետ կուղևորվի:

Եկեք ամփոփենք Sysmon-ի հնարավորությունները clipboard-ի հետ աշխատելու համար:

Ամրագրված:

  • Տեղադրված տեքստի տեքստային պատճենը RDP-ի միջոցով և տեղական;
  • Տվյալների նկարահանում clipboard-ից տարբեր կոմունալ ծառայություններով/գործընթացներով;
  • Պատճենեք/տեղադրեք տեքստը տեղական վիրտուալ մեքենայից, նույնիսկ եթե այս տեքստը դեռ չի տեղադրվել:

Չի գրանցված.

  • Պատճենել/կպցնել ֆայլեր տեղական վիրտուալ մեքենայից;
  • Պատճենեք/տեղադրեք ֆայլերը RDP-ի միջոցով
  • Չարամիտ ծրագիրը, որն առևանգում է ձեր clipboard-ը, գրում է միայն հենց clipboard-ում:

Չնայած իր անորոշությանը, իրադարձությունների այս տեսակը թույլ կտա վերականգնել հարձակվողի գործողությունների ալգորիթմը և օգնել բացահայտելու նախկինում անհասանելի տվյալներ հարձակումներից հետո հետմահուների ձևավորման համար: Եթե ​​clipboard-ում բովանդակություն գրելը դեռ միացված է, ապա կարևոր է գրանցել արխիվային գրացուցակի բոլոր մուտքերը և բացահայտել պոտենցիալ վտանգավորները (որոնք չեն նախաձեռնվել sysmon.exe-ի կողմից):

Վերը թվարկված իրադարձություններին ձայնագրելու, վերլուծելու և արձագանքելու համար կարող եք օգտագործել գործիքը InTrust, որը միավորում է բոլոր երեք մոտեցումները և, ի լրումն, հանդիսանում է բոլոր հավաքագրված չմշակված տվյալների արդյունավետ կենտրոնացված պահոց: Մենք կարող ենք կարգավորել դրա ինտեգրումը հանրաճանաչ SIEM համակարգերի հետ՝ նվազագույնի հասցնելու դրանց լիցենզավորման արժեքը՝ չմշակված տվյալների մշակումն ու պահպանումը InTrust-ին փոխանցելու միջոցով:

InTrust-ի մասին ավելին իմանալու համար կարդացեք մեր նախորդ հոդվածները կամ հարցում թողնել հետադարձ կապի ձևում.

Ինչպե՞ս նվազեցնել SIEM համակարգի սեփականության արժեքը և ինչու է ձեզ անհրաժեշտ Կենտրոնական մատյանների կառավարում (CLM)

Մենք հնարավորություն ենք տալիս Windows-ում կասկածելի գործընթացների մեկնարկի վերաբերյալ իրադարձությունների հավաքագրում և վտանգների հայտնաբերում Quest InTrust-ի միջոցով:

Ինչպես InTrust-ը կարող է օգնել նվազեցնել RDP-ի միջոցով թույլտվության ձախողված փորձերի մակարդակը

Մենք հայտնաբերում ենք փրկագին հարձակումը, մուտք ենք ստանում տիրույթի վերահսկիչ և փորձում ենք դիմակայել այդ հարձակումներին

Ինչը կարող է օգտակար լինել Windows OS-ի վրա հիմնված աշխատանքային կայանի տեղեկամատյաններից (հանրաճանաչ հոդված)

Իսկ ո՞վ է դա արել։ Մենք ավտոմատացնում ենք տեղեկատվական անվտանգության աուդիտը

Source: www.habr.com

Добавить комментарий