Il rilascio della versione 12 di Sysmon è stato annunciato il 17 settembre alle
Le informazioni provenienti da questo tipo di eventi aprono nuove opportunità per monitorare attività sospette (nonché nuove vulnerabilità). Quindi puoi capire chi, dove e cosa esattamente hanno cercato di copiare. Sotto il taglio c'è una descrizione di alcuni campi del nuovo evento e un paio di casi d'uso.
Il nuovo evento contiene i seguenti campi:
Immagine: il processo da cui i dati sono stati scritti negli appunti.
Sessione: la sessione in cui sono stati scritti gli appunti. Potrebbe essere il sistema(0)
quando si lavora online o in remoto, ecc.
Informazioni sul cliente: contiene il nome utente della sessione e, nel caso di una sessione remota, il nome host e l'indirizzo IP originali, se disponibili.
Hash: determina il nome del file in cui è stato salvato il testo copiato (simile a lavorare con eventi del tipo FileDelete).
archiviato: status, se il testo dagli appunti è stato salvato nella directory dell'archivio Sysmon.
Gli ultimi due campi sono allarmanti. Il fatto è che dalla versione 11 Sysmon può (con le impostazioni appropriate) salvare vari dati nella sua directory di archivio. Ad esempio, l'ID evento 23 registra gli eventi di eliminazione dei file e può salvarli tutti nella stessa directory di archivio. Il tag CLIP viene aggiunto al nome dei file creati come risultato dell'utilizzo degli appunti. I file stessi contengono i dati esatti che sono stati copiati negli appunti.
Questo è l'aspetto del file salvato
Il salvataggio in un file è abilitato durante l'installazione. È possibile impostare liste bianche di processi per i quali il testo non verrà salvato.
Ecco come appare l'installazione di Sysmon con le impostazioni appropriate della directory di archivio:
Qui, penso, valga la pena ricordare i gestori di password che utilizzano anche gli appunti. Avere Sysmon su un sistema con un gestore di password consentirà a te (o a un utente malintenzionato) di catturare quelle password. Supponendo che tu sappia quale processo sta allocando il testo copiato (e questo non è sempre il processo di gestione delle password, ma forse qualche svchost), questa eccezione può essere aggiunta alla lista bianca e non salvata.
Potresti non saperlo, ma il testo dagli appunti viene acquisito dal server remoto quando passi ad esso in modalità sessione RDP. Se hai qualcosa negli appunti e passi da una sessione RDP all'altra, quell'informazione viaggerà con te.
Riassumiamo le capacità di Sysmon per lavorare con gli appunti.
Fisso:
- Copia del testo incollato tramite RDP e localmente;
- Catturare i dati dagli appunti tramite varie utilità/processi;
- Copia/incolla testo dalla/nella macchina virtuale locale, anche se questo testo non è stato ancora incollato.
Non registrato:
- Copiare/incollare file da/su una macchina virtuale locale;
- Copia/incolla file tramite RDP
- Un malware che dirotta i tuoi appunti scrive solo negli appunti stessi.
Nonostante la sua ambiguità, questo tipo di eventi consentirà di ripristinare l'algoritmo delle azioni dell'aggressore e aiuterà a identificare dati precedentemente inaccessibili per la formazione di post mortem dopo gli attacchi. Se la scrittura del contenuto negli appunti è ancora abilitata, è importante registrare ogni accesso alla directory di archivio e identificare quelli potenzialmente pericolosi (non avviati da sysmon.exe).
Per registrare, analizzare e reagire agli eventi sopra elencati, è possibile utilizzare lo strumento
Per saperne di più su InTrust, leggi i nostri articoli precedenti o
Fonte: habr.com