12 Sysmon versijos išleidimas buvo paskelbtas rugsėjo 17 d . Tiesą sakant, šią dieną buvo išleistos naujos „Process Monitor“ ir „ProcDump“ versijos. Šiame straipsnyje kalbėsiu apie pagrindinę ir prieštaringai vertinamą Sysmon 12 versijos naujovę – įvykių su Event ID 24 tipą, į kurį registruojamas darbas su iškarpine.
Informacija iš tokio pobūdžio įvykių atveria naujas galimybes stebėti įtartiną veiklą (taip pat ir naujų pažeidžiamumų). Taigi, galite suprasti, kas, kur ir ką tiksliai bandė kopijuoti. Po pjūviu pateikiamas kai kurių naujo įvykio laukų aprašymas ir keletas naudojimo atvejų.
Naujame įvykyje yra šie laukai:
Nuotrauka: procesas, iš kurio duomenys buvo įrašyti į mainų sritį.
Sesija: sesija, kurios metu buvo parašyta iškarpinė. Tai gali būti sistema (0)
dirbant internetu ar nuotoliniu būdu ir pan.
Kliento informacija: yra seanso vartotojo vardas ir, nuotolinės sesijos atveju, pradinis pagrindinio kompiuterio vardas ir IP adresas, jei yra.
Maišos: nustato failo, kuriame buvo įrašytas nukopijuotas tekstas, pavadinimą (panašiai kaip dirbant su FileDelete tipo įvykiais).
Archyvuota: būsena, ar tekstas iš mainų srities buvo išsaugotas Sysmon archyvo kataloge.
Paskutiniai pora laukų kelia nerimą. Faktas yra tas, kad nuo 11 versijos Sysmon gali (su atitinkamais nustatymais) išsaugoti įvairius duomenis savo archyvo kataloge. Pavyzdžiui, įvykio ID 23 registruoja failų ištrynimo įvykius ir gali juos visus išsaugoti tame pačiame archyvo kataloge. CLIP žyma pridedama prie failų, sukurtų dirbant su iškarpine, pavadinimų. Pačiuose failuose yra tikslūs duomenys, kurie buvo nukopijuoti į mainų sritį.
Taip atrodo išsaugotas failas
Įdiegimo metu įgalinamas įrašymas į failą. Galite nustatyti baltuosius sąrašus procesų, kurių tekstas nebus išsaugotas.
Taip atrodo Sysmon diegimas su atitinkamais archyvo katalogo parametrais:
Čia, manau, verta prisiminti slaptažodžių tvarkykles, kurios taip pat naudoja mainų sritį. Turėdami Sysmon sistemoje su slaptažodžių tvarkykle, galėsite (arba užpuolikui) užfiksuoti tuos slaptažodžius. Darant prielaidą, kad žinote, kuris procesas paskirsto nukopijuotą tekstą (ir tai ne visada yra slaptažodžių tvarkyklės procesas, bet galbūt koks nors svchost), ši išimtis gali būti įtraukta į baltąjį sąrašą ir neišsaugoma.
Galbūt nežinote, bet tekstą iš mainų srities užfiksuoja nuotolinis serveris, kai persijungiate į jį KPP seanso režimu. Jei ką nors turite iškarpinėje ir perjungiate KPP seansus, ta informacija keliaus su jumis.
Apibendrinkime „Sysmon“ galimybes dirbant su iškarpine.
Fiksuotas:
- Įklijuoto teksto tekstinė kopija per KPP ir vietoje;
- Duomenų fiksavimas iš mainų srities įvairiomis komunalinėmis programomis / procesais;
- Nukopijuokite / įklijuokite tekstą iš vietinės virtualios mašinos / į ją, net jei šis tekstas dar nebuvo įklijuotas.
Neįrašyta:
- Failų kopijavimas/įklijavimas iš/į vietinę virtualią mašiną;
- Nukopijuokite / įklijuokite failus naudodami RDP
- Kenkėjiška programa, kuri užgrobia jūsų iškarpinę, rašo tik į pačią iškarpinę.
Nepaisant dviprasmiškumo, tokio tipo įvykiai leis jums atkurti užpuoliko veiksmų algoritmą ir padėti nustatyti anksčiau neprieinamus duomenis, kad būtų galima formuoti pomirtinį tyrimą po atakų. Jei turinio rašymas į mainų sritį vis dar įjungtas, svarbu įrašyti kiekvieną prieigą prie archyvo katalogo ir nustatyti potencialiai pavojingas (neinicijuota sysmon.exe).
Norėdami įrašyti, analizuoti ir reaguoti į aukščiau išvardytus įvykius, galite naudoti įrankį , kuris apjungia visus tris metodus ir, be to, yra veiksminga centralizuota visų surinktų neapdorotų duomenų saugykla. Galime sukonfigūruoti jo integravimą su populiariomis SIEM sistemomis, kad sumažintume jų licencijavimo išlaidas, perkeldami neapdorotų duomenų apdorojimą ir saugojimą į „InTrust“.
Norėdami sužinoti daugiau apie InTrust, skaitykite ankstesnius straipsnius arba .
(populiarus straipsnis)
Šaltinis: www.habr.com
