Tilkynnt var um útgáfu útgáfu 12 af Sysmon 17. september kl . Reyndar voru nýjar útgáfur af Process Monitor og ProcDump einnig gefnar út þennan dag. Í þessari grein mun ég tala um lykilinn og umdeilda nýjung útgáfu 12 af Sysmon - tegund atburða með Event ID 24, sem vinna með klemmuspjaldið er skráð inn á.
Upplýsingar frá þessari tegund atburða opna ný tækifæri til að fylgjast með grunsamlegri virkni (sem og nýjum veikleikum). Svo þú getur skilið hver, hvar og hvað nákvæmlega þeir reyndu að afrita. Fyrir neðan klippuna er lýsing á nokkrum sviðum nýja viðburðarins og nokkrum notkunartilfellum.
Nýi viðburðurinn inniheldur eftirfarandi reiti:
Mynd: ferlið þar sem gögn voru skrifuð á klemmuspjaldið.
Þing: lotunni þar sem klemmuspjaldið var skrifað. Það gæti verið kerfi(0)
þegar unnið er á netinu eða í fjarvinnu o.s.frv.
Viðskiptavinaupplýsingar: inniheldur notandanafn lotunnar og, ef um fjarlotu er að ræða, upprunalega hýsilnafnið og IP-tölu, ef það er til staðar.
Kjötkátta: ákvarðar nafn skrárinnar sem afritaði textinn var vistaður í (svipað og að vinna með atburði af gerðinni FileDelete).
Sett í geymslu: stöðu, hvort textinn af klemmuspjaldinu hafi verið vistaður í Sysmon skjalasafninu.
Síðustu tvö svið eru skelfileg. Staðreyndin er sú að þar sem útgáfa 11 getur Sysmon (með viðeigandi stillingum) vistað ýmis gögn í skjalasafnið. Til dæmis skráir Event ID 23 eyðingaratburði skráa og getur vistað þá alla í sömu skjalaskrá. CLIP merkinu er bætt við nafn skráa sem eru búnar til vegna vinnu með klippiborðinu. Skrárnar sjálfar innihalda nákvæmlega gögnin sem voru afrituð á klemmuspjaldið.
Svona lítur vistuð skráin út
Kveikt er á vistun í skrá meðan á uppsetningu stendur. Þú getur stillt hvíta lista yfir ferla sem texti verður ekki vistaður fyrir.
Svona lítur Sysmon uppsetningin út með viðeigandi stillingum skjalasafna:
Hér held ég að það sé þess virði að muna lykilorðastjóra sem nota líka klemmuspjaldið. Að hafa Sysmon á kerfi með lykilorðastjóra mun leyfa þér (eða árásarmanni) að fanga þessi lykilorð. Miðað við að þú vitir hvaða ferli er að úthluta afritaða textanum (og þetta er ekki alltaf lykilorðastjórnunarferlið, en kannski einhver svchost), þá er hægt að bæta þessari undantekningu á hvíta listann og ekki vista hana.
Þú veist kannski ekki, en textinn frá klemmuspjaldinu er tekinn af ytri þjóninum þegar þú skiptir yfir í hann í RDP lotuham. Ef þú ert með eitthvað á klemmuspjaldinu þínu og þú skiptir á milli RDP funda munu þær upplýsingar ferðast með þér.
Við skulum draga saman getu Sysmon til að vinna með klemmuspjaldið.
Lagað:
- Textaafrit af límdum texta í gegnum RDP og á staðnum;
- Handtaka gögn af klemmuspjaldinu með ýmsum tólum/ferlum;
- Afritaðu/límdu texta frá/í staðbundna sýndarvélina, jafnvel þótt þessi texti hafi ekki enn verið límdur.
Ekki skráð:
- Afrita/líma skrár frá/í staðbundna sýndarvél;
- Afritaðu / límdu skrár í gegnum RDP
- Spilliforrit sem rænir klemmuspjaldið þitt skrifar aðeins á klemmuspjaldið sjálft.
Þrátt fyrir tvíræðni hans mun þessi tegund atburðar gera þér kleift að endurheimta algrím aðgerða árásarmannsins og hjálpa til við að bera kennsl á áður óaðgengileg gögn fyrir myndun líknar eftir árás. Ef enn er virkt að skrifa efni á klemmuspjaldið er mikilvægt að skrá alla aðgang að skjalasafninu og auðkenna hugsanlega hættulegan (ekki hafin af sysmon.exe).
Til að taka upp, greina og bregðast við atburðunum sem taldir eru upp hér að ofan geturðu notað tólið , sem sameinar allar þrjár aðferðirnar og er að auki skilvirk miðlæg geymsla allra safnaðra hrágagna. Við getum stillt samþættingu þess við vinsæl SIEM kerfi til að lágmarka kostnað við leyfisveitingar þeirra með því að flytja vinnslu og geymslu á hráum gögnum til InTrust.
Til að læra meira um InTrust skaltu lesa fyrri greinar okkar eða .
(vinsæl grein)
Heimild: www.habr.com