Rilis versi 12 saka Sysmon diumumake ing 17. September ing . Nyatane, versi anyar saka Process Monitor lan ProcDump uga dirilis ing dina iki. Ing artikel iki, aku bakal ngomong babagan inovasi kunci lan kontroversial saka versi 12 Sysmon - jinis acara karo ID Acara 24, sing bisa digunakake karo clipboard.
Informasi saka jinis acara iki mbukak kemungkinan anyar kanggo ngawasi kegiatan sing curiga (uga kerentanan anyar). Dadi, sampeyan bisa ngerti sapa, ing ngendi lan apa persis sing padha nyoba nyalin. Ing ngisor potongan kasebut ana katrangan babagan sawetara lapangan acara anyar lan sawetara kasus panggunaan.
Acara anyar ngemot kolom ing ngisor iki:
Gambar: proses saka ngendi data ditulis menyang clipboard.
Sesi: sesi kang clipboard ditulis. Bisa uga sistem (0)
nalika nggarap online utawa adoh, lsp.
Info Klien: ngemot jeneng pangguna sesi lan, ing kasus sesi remot, jeneng host lan alamat IP asli, yen kasedhiya.
Hashes: nemtokake jeneng file ing ngendi teks sing disalin disimpen (padha nggarap acara saka jinis FileDelete).
Diarsipake: status, apa teks saka clipboard disimpen ing direktori arsip Sysmon.
Saperangan lapangan pungkasan nguwatirake. Kasunyatane yaiku wiwit versi 11 Sysmon bisa (kanthi setelan sing cocog) nyimpen macem-macem data menyang direktori arsip. Contone, ID Acara 23 nyathet acara pambusakan file lan bisa nyimpen kabeh ing direktori arsip sing padha. Tag CLIP ditambahake ing jeneng file sing digawe minangka asil nggarap clipboard. File kasebut ngemot data sing tepat sing disalin menyang clipboard.
Iki minangka file sing disimpen
Nyimpen menyang file diaktifake sajrone instalasi. Sampeyan bisa nyetel dhaptar proses putih sing teks ora bakal disimpen.
Iki minangka instalasi Sysmon karo setelan direktori arsip sing cocog:
Ing kene, aku mikir, sampeyan kudu ngelingi manajer sandhi sing uga nggunakake clipboard. Duwe Sysmon ing sistem kanthi manajer sandhi bakal ngidini sampeyan (utawa panyerang) njupuk sandhi kasebut. Assuming sing ngerti kang proses allocating teks disalin (lan iki ora tansah proses manager sandi, nanging Mungkin sawetara svchost), pangecualian iki bisa ditambahake menyang dhaftar putih lan ora disimpen.
Sampeyan bisa uga ora ngerti, nanging teks saka clipboard dijupuk dening server remot nalika sampeyan ngalih menyang mode sesi RDP. Yen sampeyan duwe barang ing clipboard lan sampeyan ngalih ing antarane sesi RDP, informasi kasebut bakal lelungan karo sampeyan.
Ayo ngringkes kemampuan Sysmon kanggo nggarap clipboard.
Tetep:
- Salinan teks teks sing ditempelake liwat RDP lan lokal;
- Jupuk data saka clipboard kanthi macem-macem keperluan / proses;
- Nyalin / nempel teks saka / menyang mesin virtual lokal, sanajan teks iki durung ditempelake.
Ora direkam:
- Nyalin / nempel file saka / menyang mesin virtual lokal;
- Salin/tempel file liwat RDP
- Malware sing mbajak clipboard sampeyan mung nulis menyang clipboard dhewe.
Senadyan ambiguitas, jinis acara iki bakal ngidini sampeyan mulihake algoritma tumindak panyerang lan mbantu ngenali data sing sadurunge ora bisa diakses kanggo pambentukan post-mortem sawise serangan. Yen nulis isi menyang clipboard isih aktif, penting kanggo ngrekam saben akses menyang direktori arsip lan ngenali sing bisa mbebayani (sing ora diwiwiti dening sysmon.exe).
Kanggo ngrekam, nganalisa lan nanggepi acara kasebut ing ndhuwur, sampeyan bisa nggunakake alat kasebut , sing nggabungake kabeh telung pendekatan lan, saliyane, minangka gudang terpusat sing efektif kanggo kabeh data mentah sing diklumpukake. Kita bisa ngatur integrasi karo sistem SIEM populer kanggo nyilikake biaya lisensi kanthi mindhah pangolahan lan panyimpenan data mentah menyang InTrust.
Kanggo sinau luwih lengkap babagan InTrust, waca artikel sadurunge utawa .
(artikel populer)
Source: www.habr.com