Sysmon ಆವೃತ್ತಿ 12 ರ ಬಿಡುಗಡೆಯನ್ನು ಸೆಪ್ಟೆಂಬರ್ 17 ರಂದು ಘೋಷಿಸಲಾಯಿತು . ವಾಸ್ತವವಾಗಿ, ಪ್ರಕ್ರಿಯೆ ಮಾನಿಟರ್ ಮತ್ತು ProcDump ನ ಹೊಸ ಆವೃತ್ತಿಗಳನ್ನು ಸಹ ಈ ದಿನ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ. ಈ ಲೇಖನದಲ್ಲಿ ನಾನು Sysmon ನ 12 ನೇ ಆವೃತ್ತಿಯ ಪ್ರಮುಖ ಮತ್ತು ವಿವಾದಾತ್ಮಕ ಆವಿಷ್ಕಾರದ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತೇನೆ - ಈವೆಂಟ್ ID 24 ರೊಂದಿಗಿನ ಈವೆಂಟ್ಗಳ ಪ್ರಕಾರ, ಇದರಲ್ಲಿ ಕ್ಲಿಪ್ಬೋರ್ಡ್ನೊಂದಿಗೆ ಲಾಗ್ ಮಾಡಲಾಗಿದೆ.
ಈ ರೀತಿಯ ಈವೆಂಟ್ನ ಮಾಹಿತಿಯು ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಯನ್ನು (ಹಾಗೆಯೇ ಹೊಸ ದುರ್ಬಲತೆಗಳು) ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಹೊಸ ಅವಕಾಶಗಳನ್ನು ತೆರೆಯುತ್ತದೆ. ಆದ್ದರಿಂದ, ಯಾರು, ಎಲ್ಲಿ ಮತ್ತು ನಿಖರವಾಗಿ ಅವರು ನಕಲಿಸಲು ಪ್ರಯತ್ನಿಸಿದರು ಎಂಬುದನ್ನು ನೀವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬಹುದು. ಕಟ್ನ ಕೆಳಗೆ ಹೊಸ ಈವೆಂಟ್ನ ಕೆಲವು ಕ್ಷೇತ್ರಗಳ ವಿವರಣೆ ಮತ್ತು ಒಂದೆರಡು ಬಳಕೆಯ ಸಂದರ್ಭಗಳಿವೆ.
ಹೊಸ ಈವೆಂಟ್ ಈ ಕೆಳಗಿನ ಕ್ಷೇತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
ಚಿತ್ರ: ಕ್ಲಿಪ್ಬೋರ್ಡ್ಗೆ ಡೇಟಾವನ್ನು ಬರೆಯುವ ಪ್ರಕ್ರಿಯೆ.
ಅಧಿವೇಶನ: ಕ್ಲಿಪ್ಬೋರ್ಡ್ ಬರೆಯಲಾದ ಅಧಿವೇಶನ. ಇದು ಸಿಸ್ಟಮ್ ಆಗಿರಬಹುದು (0)
ಆನ್ಲೈನ್ ಅಥವಾ ರಿಮೋಟ್ನಲ್ಲಿ ಕೆಲಸ ಮಾಡುವಾಗ, ಇತ್ಯಾದಿ.
ಗ್ರಾಹಕರ ಮಾಹಿತಿ: ಸೆಷನ್ ಬಳಕೆದಾರಹೆಸರನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ರಿಮೋಟ್ ಸೆಷನ್ನಲ್ಲಿ ಮೂಲ ಹೋಸ್ಟ್ ಹೆಸರು ಮತ್ತು IP ವಿಳಾಸ ಲಭ್ಯವಿದ್ದರೆ.
ಹ್ಯಾಶ್ಗಳು: ನಕಲಿಸಲಾದ ಪಠ್ಯವನ್ನು ಉಳಿಸಿದ ಫೈಲ್ನ ಹೆಸರನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ (ಫೈಲ್ಡಿಲೀಟ್ ಪ್ರಕಾರದ ಈವೆಂಟ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಂತೆಯೇ).
ಆರ್ಕೈವ್ ಮಾಡಲಾಗಿದೆ: ಸ್ಥಿತಿ, ಕ್ಲಿಪ್ಬೋರ್ಡ್ನಿಂದ ಪಠ್ಯವನ್ನು Sysmon ಆರ್ಕೈವ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಉಳಿಸಲಾಗಿದೆಯೇ.
ಕಳೆದೆರಡು ಕ್ಷೇತ್ರಗಳು ಆತಂಕಕಾರಿಯಾಗಿವೆ. ಸತ್ಯವೆಂದರೆ ಆವೃತ್ತಿ 11 ರಿಂದ ಸಿಸ್ಮನ್ (ಸೂಕ್ತ ಸೆಟ್ಟಿಂಗ್ಗಳೊಂದಿಗೆ) ವಿವಿಧ ಡೇಟಾವನ್ನು ತನ್ನ ಆರ್ಕೈವ್ ಡೈರೆಕ್ಟರಿಗೆ ಉಳಿಸಬಹುದು. ಉದಾಹರಣೆಗೆ, ಈವೆಂಟ್ ಐಡಿ 23 ಫೈಲ್ ಅಳಿಸುವಿಕೆ ಈವೆಂಟ್ಗಳನ್ನು ಲಾಗ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅವೆಲ್ಲವನ್ನೂ ಒಂದೇ ಆರ್ಕೈವ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಉಳಿಸಬಹುದು. ಕ್ಲಿಪ್ಬೋರ್ಡ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಪರಿಣಾಮವಾಗಿ ರಚಿಸಲಾದ ಫೈಲ್ಗಳ ಹೆಸರಿಗೆ CLIP ಟ್ಯಾಗ್ ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ. ಫೈಲ್ಗಳು ಕ್ಲಿಪ್ಬೋರ್ಡ್ಗೆ ನಕಲಿಸಲಾದ ನಿಖರವಾದ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ.
ಉಳಿಸಿದ ಫೈಲ್ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ
ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಫೈಲ್ಗೆ ಉಳಿಸುವಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ. ಪಠ್ಯವನ್ನು ಉಳಿಸದ ಪ್ರಕ್ರಿಯೆಗಳ ಬಿಳಿ ಪಟ್ಟಿಗಳನ್ನು ನೀವು ಹೊಂದಿಸಬಹುದು.
ಸೂಕ್ತವಾದ ಆರ್ಕೈವ್ ಡೈರೆಕ್ಟರಿ ಸೆಟ್ಟಿಂಗ್ಗಳೊಂದಿಗೆ Sysmon ಅನುಸ್ಥಾಪನೆಯು ಹೇಗೆ ಕಾಣುತ್ತದೆ:
ಇಲ್ಲಿ, ಕ್ಲಿಪ್ಬೋರ್ಡ್ ಅನ್ನು ಬಳಸುವ ಪಾಸ್ವರ್ಡ್ ನಿರ್ವಾಹಕರನ್ನು ನೆನಪಿಟ್ಟುಕೊಳ್ಳುವುದು ಯೋಗ್ಯವಾಗಿದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ. ಪಾಸ್ವರ್ಡ್ ಮ್ಯಾನೇಜರ್ ಹೊಂದಿರುವ ಸಿಸ್ಟಂನಲ್ಲಿ ಸಿಸ್ಮನ್ ಅನ್ನು ಹೊಂದಿದ್ದರೆ ಆ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಸೆರೆಹಿಡಿಯಲು ನಿಮಗೆ (ಅಥವಾ ಆಕ್ರಮಣಕಾರರಿಗೆ) ಅನುಮತಿಸುತ್ತದೆ. ಯಾವ ಪ್ರಕ್ರಿಯೆಯು ನಕಲು ಮಾಡಲಾದ ಪಠ್ಯವನ್ನು ನಿಯೋಜಿಸುತ್ತದೆ ಎಂದು ನಿಮಗೆ ತಿಳಿದಿದೆ ಎಂದು ಭಾವಿಸಿ (ಮತ್ತು ಇದು ಯಾವಾಗಲೂ ಪಾಸ್ವರ್ಡ್ ನಿರ್ವಾಹಕ ಪ್ರಕ್ರಿಯೆಯಲ್ಲ, ಆದರೆ ಕೆಲವು svchost), ಈ ವಿನಾಯಿತಿಯನ್ನು ಬಿಳಿ ಪಟ್ಟಿಗೆ ಸೇರಿಸಬಹುದು ಮತ್ತು ಉಳಿಸಲಾಗುವುದಿಲ್ಲ.
ನಿಮಗೆ ತಿಳಿದಿಲ್ಲದಿರಬಹುದು, ಆದರೆ ಕ್ಲಿಪ್ಬೋರ್ಡ್ನಿಂದ ಪಠ್ಯವನ್ನು ನೀವು RDP ಸೆಶನ್ ಮೋಡ್ನಲ್ಲಿ ಬದಲಾಯಿಸಿದಾಗ ರಿಮೋಟ್ ಸರ್ವರ್ನಿಂದ ಸೆರೆಹಿಡಿಯಲಾಗುತ್ತದೆ. ನಿಮ್ಮ ಕ್ಲಿಪ್ಬೋರ್ಡ್ನಲ್ಲಿ ನೀವು ಏನನ್ನಾದರೂ ಹೊಂದಿದ್ದರೆ ಮತ್ತು ನೀವು RDP ಸೆಷನ್ಗಳ ನಡುವೆ ಬದಲಾಯಿಸಿದರೆ, ಆ ಮಾಹಿತಿಯು ನಿಮ್ಮೊಂದಿಗೆ ಪ್ರಯಾಣಿಸುತ್ತದೆ.
ಕ್ಲಿಪ್ಬೋರ್ಡ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು Sysmon ನ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಸಾರಾಂಶ ಮಾಡೋಣ.
ಸ್ಥಿರ:
- RDP ಮೂಲಕ ಮತ್ತು ಸ್ಥಳೀಯವಾಗಿ ಅಂಟಿಸಿದ ಪಠ್ಯದ ಪಠ್ಯ ನಕಲು;
- ಕ್ಲಿಪ್ಬೋರ್ಡ್ನಿಂದ ವಿವಿಧ ಉಪಯುಕ್ತತೆಗಳು/ಪ್ರಕ್ರಿಯೆಗಳ ಮೂಲಕ ಡೇಟಾವನ್ನು ಸೆರೆಹಿಡಿಯಿರಿ;
- ಈ ಪಠ್ಯವನ್ನು ಇನ್ನೂ ಅಂಟಿಸದಿದ್ದರೂ ಸಹ, ಸ್ಥಳೀಯ ವರ್ಚುವಲ್ ಗಣಕದಿಂದ ಪಠ್ಯವನ್ನು ನಕಲಿಸಿ/ಅಂಟಿಸಿ.
ದಾಖಲಾಗಿಲ್ಲ:
- ಸ್ಥಳೀಯ ವರ್ಚುವಲ್ ಯಂತ್ರದಿಂದ ಫೈಲ್ಗಳನ್ನು ನಕಲಿಸುವುದು/ಅಂಟಿಸುವುದು;
- RDP ಮೂಲಕ ಫೈಲ್ಗಳನ್ನು ನಕಲಿಸಿ/ಅಂಟಿಸಿ
- ನಿಮ್ಮ ಕ್ಲಿಪ್ಬೋರ್ಡ್ ಅನ್ನು ಹೈಜಾಕ್ ಮಾಡುವ ಮಾಲ್ವೇರ್ ಕ್ಲಿಪ್ಬೋರ್ಡ್ಗೆ ಮಾತ್ರ ಬರೆಯುತ್ತದೆ.
ಅದರ ಅಸ್ಪಷ್ಟತೆಯ ಹೊರತಾಗಿಯೂ, ಈ ರೀತಿಯ ಘಟನೆಯು ಆಕ್ರಮಣಕಾರರ ಕ್ರಮಗಳ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಪುನಃಸ್ಥಾಪಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ದಾಳಿಯ ನಂತರ ಮರಣೋತ್ತರ ಪರೀಕ್ಷೆಗಳ ರಚನೆಗೆ ಹಿಂದೆ ಪ್ರವೇಶಿಸಲಾಗದ ಡೇಟಾವನ್ನು ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಕ್ಲಿಪ್ಬೋರ್ಡ್ಗೆ ವಿಷಯವನ್ನು ಬರೆಯುವುದನ್ನು ಇನ್ನೂ ಸಕ್ರಿಯಗೊಳಿಸಿದ್ದರೆ, ಆರ್ಕೈವ್ ಡೈರೆಕ್ಟರಿಗೆ ಪ್ರತಿ ಪ್ರವೇಶವನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡುವುದು ಮತ್ತು ಅಪಾಯಕಾರಿಯಾದವುಗಳನ್ನು ಗುರುತಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ (sysmon.exe ನಿಂದ ಪ್ರಾರಂಭಿಸಲಾಗಿಲ್ಲ).
ಮೇಲೆ ಪಟ್ಟಿ ಮಾಡಲಾದ ಈವೆಂಟ್ಗಳನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡಲು, ವಿಶ್ಲೇಷಿಸಲು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯಿಸಲು, ನೀವು ಉಪಕರಣವನ್ನು ಬಳಸಬಹುದು , ಇದು ಎಲ್ಲಾ ಮೂರು ವಿಧಾನಗಳನ್ನು ಸಂಯೋಜಿಸುತ್ತದೆ ಮತ್ತು ಹೆಚ್ಚುವರಿಯಾಗಿ, ಎಲ್ಲಾ ಸಂಗ್ರಹಿಸಿದ ಕಚ್ಚಾ ಡೇಟಾದ ಪರಿಣಾಮಕಾರಿ ಕೇಂದ್ರೀಕೃತ ರೆಪೊಸಿಟರಿಯಾಗಿದೆ. InTrust ಗೆ ಕಚ್ಚಾ ಡೇಟಾದ ಸಂಸ್ಕರಣೆ ಮತ್ತು ಸಂಗ್ರಹಣೆಯನ್ನು ವರ್ಗಾಯಿಸುವ ಮೂಲಕ ಅವುಗಳ ಪರವಾನಗಿಯ ವೆಚ್ಚವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ನಾವು ಜನಪ್ರಿಯ SIEM ಸಿಸ್ಟಮ್ಗಳೊಂದಿಗೆ ಅದರ ಏಕೀಕರಣವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು.
InTrust ಕುರಿತು ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು, ನಮ್ಮ ಹಿಂದಿನ ಲೇಖನಗಳನ್ನು ಓದಿ ಅಥವಾ .
(ಜನಪ್ರಿಯ ಲೇಖನ)
ಮೂಲ: www.habr.com