A mara ọkwa mwepụta nke ụdị 12 nke Sysmon na Septemba 17 na . N'ezie, ewepụtara ụdịdị ọhụrụ nke Process Monitor na ProcDump n'ụbọchị a. N'isiokwu a, m ga-ekwu maka isi na arụmụka ọhụrụ nke version 12 nke Sysmon - ụdị ihe omume na Event ID 24, nke na-abanye na-arụ ọrụ na clipboard.
Ozi sitere na ụdị ihe omume a na-emepe ohere ọhụrụ iji nyochaa ọrụ enyo (yana adịghị ike ọhụrụ). Ya mere, ị nwere ike ịghọta onye, ebe na ihe kpọmkwem ha gbalịrị iṅomi. N'okpuru ịkpụ bụ nkọwa nke mpaghara ụfọdụ nke ihe omume ọhụrụ na ihe abụọ eji eme ihe.
Ihe omume ọhụrụ ahụ nwere mpaghara ndị a:
Foto: usoro nke e si dee data na clipboard.
Oge: nnọkọ nke e dere bọọdụ ahụ. Ọ nwere ike ịbụ sistemụ (0)
mgbe ị na-arụ ọrụ online ma ọ bụ remotely, wdg.
Ozi ndị ahịa: nwere aha njirimara nnọkọ yana, n'ihe gbasara nnọkọ dịpụrụ adịpụ, aha nnabata mbụ na adreesị IP, ọ bụrụ na ọ dị.
Hashes: na-ekpebi aha faịlụ nke echekwara ederede depụtaghachiri (dị ka ịrụ ọrụ na mmemme nke ụdị FileDelete).
Edebere: ọkwa, ma echekwara ederede sitere na klipbọọdụ n'ime ndekọ ndekọ aha nke Sysmon.
Ogige abụọ ikpeazụ na-atụ egwu. Nke bụ eziokwu bụ na ebe ọ bụ na ụdị 11 Sysmon nwere ike (ya na ntọala kwesịrị ekwesị) chekwaa data dị iche iche na akwụkwọ ndekọ aha ya. Dịka ọmụmaatụ, Ihe omume ID 23 na-edekọ ihe omume nhichapụ faịlụ ma nwee ike chekwaa ha niile n'otu akwụkwọ ndekọ aha. A na-agbakwunye mkpado CLIP na aha faịlụ ndị emepụtara n'ihi iji bọọdụ arụ ọrụ. Faịlụ n'onwe ha nwere data nke e depụtaghachiri na klipbọọdụ ahụ.
Nke a bụ ihe faịlụ echekwara dị ka
Agbanyere nchekwa na faịlụ mgbe echichi. Ị nwere ike ịtọ ndepụta ọcha nke usoro nke agaghị echekwa ederede maka ya.
Nke a bụ ihe nrụnye Sysmon dị ka ya na ntọala ndekọ ndekọ kwesịrị ekwesị:
N'ebe a, echere m, ọ bara uru icheta ndị njikwa okwuntughe na-ejikwa bọọdụ ahụ. Inwe Sysmon na sistemụ nwere njikwa okwuntughe ga-enye gị ohere (ma ọ bụ onye na-awakpo) ijide okwuntughe ndị ahụ. Na-eche na ị maara usoro nke na-ekenye ederede e depụtaghachiri (na nke a abụghị mgbe niile usoro njikwa okwuntughe, ma eleghị anya ụfọdụ svchost), enwere ike ịgbakwunye nke a na listi ọcha ma ọ bụghị echekwara.
Ị nwere ike ịmaghị, mana ihe nkesa dịpụrụ adịpụ na-ejide ederede sitere na klipbọọdụ mgbe ị gbanwere na ya na ọnọdụ nnọkọ RDP. Ọ bụrụ na ị nwere ihe na klipbọọdụ gị wee gbanwee n'etiti nnọkọ RDP, ozi ahụ ga-eso gị gaa.
Ka anyị chịkọta ike Sysmon maka iji bọọdụ arụ ọrụ.
Edoziri:
- Mpempe ederede nke ederede site na RDP na mpaghara;
- Weghara data site na klipbọọdụ site na ngwa ọrụ/usoro dị iche iche;
- Detuo/mado ederede site na/gaa na igwe mebere mpaghara, ọbụlagodi ma ọ bụrụ na edebeghị ederede a.
Edekọghị ya:
- Iṅomi/mado faịlụ site na/na igwe mebere obodo;
- Detuo/mado faịlụ site na RDP
- malware nke na-apụnara klipbọọdụ gị na-edegara naanị bọọdụ ahụ n'onwe ya.
N'agbanyeghị mgbagwoju anya ya, ụdị ihe omume a ga-enye gị ohere iweghachi algọridim nke onye na-awakpo omume ma nyere aka chọpụta data na-enweghị ike ịnweta na mbụ maka ịmepụta post-mortems mgbe mwakpo gasịrị. Ọ bụrụ na enyere aka ide ọdịnaya na klipbọọdụ ahụ, ọ dị mkpa ịdekọ ohere ọ bụla na ndekọ ndekọ ndekọ ma chọpụta ndị nwere ike ịdị ize ndụ (ọ bụghị sysmon.exe malitere).
Ka ịdekọ, nyochaa na meghachi omume na ihe omume ndị edepụtara n'elu, ị nwere ike iji ngwá ọrụ ahụ , nke na-ejikọta ụzọ atọ niile na, na mgbakwunye, bụ ebe nchekwa nchekwa etiti dị irè nke data raw niile anakọtara. Anyị nwere ike hazie njikọ ya na sistemụ SIEM ndị a ma ama iji belata ọnụ ahịa ikike ha site na ịnyefe nhazi na nchekwa nke data raw na InTrust.
Iji mụtakwuo maka InTrust, gụọ akụkọ anyị gara aga ma ọ bụ .
(akụkọ ama ama)
isi: www.habr.com
