プロホスト > ブログ > 行政 > Sysmon がクリップボードの内容を書き込めるようになりました

Sysmon がクリップボードの内容を書き込めるようになりました

Sysmon バージョン 12 のリリースは、17 月 XNUMX 日に次の URL で発表されました。 Sysinternals ページ。 実際、Process Monitor と ProcDump の新しいバージョンもこの日にリリースされました。 この記事では、Sysmon バージョン 12 の重要かつ物議を醸す革新、つまりクリップボードでの作業が記録される、イベント ID 24 のイベントの種類について説明します。

Sysmon がクリップボードの内容を書き込めるようになりました

このタイプのイベントからの情報は、不審なアクティビティ (および新しい脆弱性) を監視する新たな機会をもたらします。 したがって、誰が、どこで、何をコピーしようとしたのかがわかります。 カットの下には、新しいイベントのいくつかのフィールドといくつかの使用例の説明があります。

新しいイベントには次のフィールドが含まれます。

イメージ: データがクリップボードに書き込まれるプロセス。
セッション: クリップボードが書き込まれたセッション。 system(0) である可能性があります
オンラインまたはリモートで作業しているときなど。
クライアント情報: セッションのユーザー名と、リモート セッションの場合は元のホスト名と IP アドレス(使用可能な場合)が含まれます。
ハッシュ: コピーされたテキストが保存されたファイルの名前を決定します (FileDelete タイプのイベントの操作と同様)。
アーカイブ: ステータス、クリップボードのテキストが Sysmon アーカイブ ディレクトリに保存されたかどうか。

最後のいくつかのフィールドは憂慮すべきものです。 実際、バージョン 11 以降、Sysmon は (適切な設定を使用して) さまざまなデータをアーカイブ ディレクトリに保存できるようになりました。 たとえば、イベント ID 23 はファイル削除イベントをログに記録し、それらをすべて同じアーカイブ ディレクトリに保存できます。 CLIP タグは、クリップボードを操作した結果として作成されるファイルの名前に追加されます。 ファイル自体には、クリップボードにコピーされた正確なデータが含まれています。

保存したファイルはこんな感じです
Sysmon がクリップボードの内容を書き込めるようになりました

ファイルへの保存はインストール時に有効になります。 テキストを保存しないプロセスのホワイト リストを設定できます。

適切なアーカイブ ディレクトリ設定を使用した Sysmon インストールは次のようになります。
Sysmon がクリップボードの内容を書き込めるようになりました

ここで、クリップボードも使用するパスワード マネージャーを覚えておく価値があると思います。 パスワード マネージャーを備えたシステムに Sysmon を配置すると、ユーザー (または攻撃者) がこれらのパスワードを取得できるようになります。 コピーされたテキストをどのプロセスが割り当てるかがわかっていると仮定すると (これは常にパスワード マネージャー プロセスではなく、おそらく svchost である可能性があります)、この例外はホワイト リストに追加され、保存されないようにすることができます。

ご存知ないかもしれませんが、RDP セッション モードでリモート サーバーに切り替えると、クリップボードのテキストがリモート サーバーによってキャプチャされます。 クリップボードに何かがあり、RDP セッション間を切り替えると、その情報も一緒に転送されます。

クリップボードを操作するための Sysmon の機能をまとめてみましょう。

修理済み:

  • RDP 経由およびローカルで貼り付けたテキストのテキスト コピー。
  • さまざまなユーティリティ/プロセスによってクリップボードからデータをキャプチャします。
  • テキストがまだ貼り付けられていない場合でも、ローカル仮想マシンとの間でテキストをコピー/貼り付けます。

記録されていない:

  • ローカル仮想マシンとの間でファイルをコピー/ペーストする。
  • RDP経由でファイルをコピー/貼り付け
  • クリップボードをハイジャックするマルウェアは、クリップボード自体にのみ書き込みます。

あいまいさにもかかわらず、このタイプのイベントにより、攻撃者の行動アルゴリズムを復元し、攻撃後の事後分析を行うために以前はアクセスできなかったデータを特定するのに役立ちます。 クリップボードへのコンテンツの書き込みがまだ有効な場合は、アーカイブ ディレクトリへのすべてのアクセスを記録し、潜在的に危険なアクセス (sysmon.exe によって開始されたものではない) を特定することが重要です。

上記のイベントを記録、分析し、対応するには、次のツールを使用できます。 イントラストは、XNUMX つのアプローチをすべて組み合わせたもので、さらに、収集されたすべての生データの効果的な集中リポジトリです。 生データの処理と保存を InTrust に転送することで、一般的な SIEM システムとの統合を構成して、ライセンスのコストを最小限に抑えることができます。

InTrust について詳しくは、以前の記事を参照するか、 フィードバックフォームにリクエストを残してください.

SIEM システムの所有コストを削減する方法と中央ログ管理 (CLM) が必要な理由

Windows での不審なプロセスの起動に関するイベントの収集を有効にし、Quest InTrust を使用して脅威を特定します。

InTrust が RDP 経由の認証試行の失敗率を減らすのにどのように役立つか

ランサムウェア攻撃を検出し、ドメイン コントローラーにアクセスして、これらの攻撃に対抗しようとします。

Windows OS ベースのワークステーションのログから役立つこと (人気記事)

そして誰がやったの? 情報セキュリティ監査を自動化します

出所: habr.com

コメントを追加します