Il rilascio della versione 12 di Sysmon è stato annunciato il 17 settembre alle . In effetti, in questo giorno sono state rilasciate anche le nuove versioni di Process Monitor e ProcDump. In questo articolo parlerò dell'innovazione chiave e controversa della versione 12 di Sysmon: il tipo di eventi con ID evento 24, in cui viene registrato il lavoro con gli appunti.
Le informazioni provenienti da questo tipo di eventi aprono nuove opportunità per monitorare attività sospette (nonché nuove vulnerabilità). Quindi puoi capire chi, dove e cosa esattamente hanno cercato di copiare. Sotto il taglio c'è una descrizione di alcuni campi del nuovo evento e un paio di casi d'uso.
Il nuovo evento contiene i seguenti campi:
Immagine: il processo da cui i dati sono stati scritti negli appunti.
Sessione: la sessione in cui sono stati scritti gli appunti. Potrebbe essere il sistema(0)
quando si lavora online o in remoto, ecc.
Informazioni sul cliente: contiene il nome utente della sessione e, nel caso di una sessione remota, il nome host e l'indirizzo IP originali, se disponibili.
Hash: determina il nome del file in cui è stato salvato il testo copiato (simile a lavorare con eventi del tipo FileDelete).
archiviato: status, se il testo dagli appunti è stato salvato nella directory dell'archivio Sysmon.
Gli ultimi due campi sono allarmanti. Il fatto è che dalla versione 11 Sysmon può (con le impostazioni appropriate) salvare vari dati nella sua directory di archivio. Ad esempio, l'ID evento 23 registra gli eventi di eliminazione dei file e può salvarli tutti nella stessa directory di archivio. Il tag CLIP viene aggiunto al nome dei file creati come risultato dell'utilizzo degli appunti. I file stessi contengono i dati esatti che sono stati copiati negli appunti.
Questo è l'aspetto del file salvato
Il salvataggio in un file è abilitato durante l'installazione. È possibile impostare liste bianche di processi per i quali il testo non verrà salvato.
Ecco come appare l'installazione di Sysmon con le impostazioni appropriate della directory di archivio:
Qui, penso, valga la pena ricordare i gestori di password che utilizzano anche gli appunti. Avere Sysmon su un sistema con un gestore di password consentirà a te (o a un utente malintenzionato) di catturare quelle password. Supponendo che tu sappia quale processo sta allocando il testo copiato (e questo non è sempre il processo di gestione delle password, ma forse qualche svchost), questa eccezione può essere aggiunta alla lista bianca e non salvata.
Potresti non saperlo, ma il testo dagli appunti viene acquisito dal server remoto quando passi ad esso in modalità sessione RDP. Se hai qualcosa negli appunti e passi da una sessione RDP all'altra, quell'informazione viaggerà con te.
Riassumiamo le capacità di Sysmon per lavorare con gli appunti.
Fisso:
- Copia del testo incollato tramite RDP e localmente;
- Catturare i dati dagli appunti tramite varie utilità/processi;
- Copia/incolla testo dalla/nella macchina virtuale locale, anche se questo testo non è stato ancora incollato.
Non registrato:
- Copiare/incollare file da/su una macchina virtuale locale;
- Copia/incolla file tramite RDP
- Un malware che dirotta i tuoi appunti scrive solo negli appunti stessi.
Nonostante la sua ambiguità, questo tipo di eventi consentirà di ripristinare l'algoritmo delle azioni dell'aggressore e aiuterà a identificare dati precedentemente inaccessibili per la formazione di post mortem dopo gli attacchi. Se la scrittura del contenuto negli appunti è ancora abilitata, è importante registrare ogni accesso alla directory di archivio e identificare quelli potenzialmente pericolosi (non avviati da sysmon.exe).
Per registrare, analizzare e reagire agli eventi sopra elencati, è possibile utilizzare lo strumento , che combina tutti e tre gli approcci e, inoltre, costituisce un efficace archivio centralizzato di tutti i dati grezzi raccolti. Possiamo configurarne l'integrazione con i sistemi SIEM più diffusi per ridurre al minimo il costo della licenza trasferendo l'elaborazione e l'archiviazione dei dati grezzi a InTrust.
Per saperne di più su InTrust, leggi i nostri articoli precedenti o .
(articolo popolare)
Fonte: habr.com