Sysmon バージョン 12 のリリースは、17 月 XNUMX 日に次の URL で発表されました。
このタイプのイベントからの情報は、不審なアクティビティ (および新しい脆弱性) を監視する新たな機会をもたらします。 したがって、誰が、どこで、何をコピーしようとしたのかがわかります。 カットの下には、新しいイベントのいくつかのフィールドといくつかの使用例の説明があります。
新しいイベントには次のフィールドが含まれます。
イメージ: データがクリップボードに書き込まれるプロセス。
セッション: クリップボードが書き込まれたセッション。 system(0) である可能性があります
オンラインまたはリモートで作業しているときなど。
クライアント情報: セッションのユーザー名と、リモート セッションの場合は元のホスト名と IP アドレス(使用可能な場合)が含まれます。
ハッシュ: コピーされたテキストが保存されたファイルの名前を決定します (FileDelete タイプのイベントの操作と同様)。
アーカイブ: ステータス、クリップボードのテキストが Sysmon アーカイブ ディレクトリに保存されたかどうか。
最後のいくつかのフィールドは憂慮すべきものです。 実際、バージョン 11 以降、Sysmon は (適切な設定を使用して) さまざまなデータをアーカイブ ディレクトリに保存できるようになりました。 たとえば、イベント ID 23 はファイル削除イベントをログに記録し、それらをすべて同じアーカイブ ディレクトリに保存できます。 CLIP タグは、クリップボードを操作した結果として作成されるファイルの名前に追加されます。 ファイル自体には、クリップボードにコピーされた正確なデータが含まれています。
保存したファイルはこんな感じです
ファイルへの保存はインストール時に有効になります。 テキストを保存しないプロセスのホワイト リストを設定できます。
適切なアーカイブ ディレクトリ設定を使用した Sysmon インストールは次のようになります。
ここで、クリップボードも使用するパスワード マネージャーを覚えておく価値があると思います。 パスワード マネージャーを備えたシステムに Sysmon を配置すると、ユーザー (または攻撃者) がこれらのパスワードを取得できるようになります。 コピーされたテキストをどのプロセスが割り当てるかがわかっていると仮定すると (これは常にパスワード マネージャー プロセスではなく、おそらく svchost である可能性があります)、この例外はホワイト リストに追加され、保存されないようにすることができます。
ご存知ないかもしれませんが、RDP セッション モードでリモート サーバーに切り替えると、クリップボードのテキストがリモート サーバーによってキャプチャされます。 クリップボードに何かがあり、RDP セッション間を切り替えると、その情報も一緒に転送されます。
クリップボードを操作するための Sysmon の機能をまとめてみましょう。
修理済み:
- RDP 経由およびローカルで貼り付けたテキストのテキスト コピー。
- さまざまなユーティリティ/プロセスによってクリップボードからデータをキャプチャします。
- テキストがまだ貼り付けられていない場合でも、ローカル仮想マシンとの間でテキストをコピー/貼り付けます。
記録されていない:
- ローカル仮想マシンとの間でファイルをコピー/ペーストする。
- RDP経由でファイルをコピー/貼り付け
- クリップボードをハイジャックするマルウェアは、クリップボード自体にのみ書き込みます。
あいまいさにもかかわらず、このタイプのイベントにより、攻撃者の行動アルゴリズムを復元し、攻撃後の事後分析を行うために以前はアクセスできなかったデータを特定するのに役立ちます。 クリップボードへのコンテンツの書き込みがまだ有効な場合は、アーカイブ ディレクトリへのすべてのアクセスを記録し、潜在的に危険なアクセス (sysmon.exe によって開始されたものではない) を特定することが重要です。
上記のイベントを記録、分析し、対応するには、次のツールを使用できます。
InTrust について詳しくは、以前の記事を参照するか、