Sysmon 12. versijas izlaišana tika paziņota 17. septembrī plkst . Faktiski šajā dienā tika izlaistas arī jaunas Process Monitor un ProcDump versijas. Šajā rakstā es runāšu par Sysmon 12. versijas galveno un pretrunīgo jauninājumu - notikumu veidu ar Event ID 24, kurā tiek reģistrēts darbs ar starpliktuvi.
Informācija no šāda veida notikumiem paver jaunas iespējas uzraudzīt aizdomīgas darbības (kā arī jaunas ievainojamības). Tātad, jūs varat saprast, kas, kur un ko tieši viņi mēģināja kopēt. Zem griezuma ir aprakstīti daži jaunā notikuma lauki un daži lietošanas gadījumi.
Jaunajā pasākumā ir šādi lauki:
Attēls: process, no kura dati tika ierakstīti starpliktuvē.
Sesija: sesija, kurā tika rakstīta starpliktuve. Tā varētu būt sistēma (0)
strādājot tiešsaistē vai attālināti utt.
Klienta informācija: satur sesijas lietotājvārdu un attālas sesijas gadījumā sākotnējo resursdatora nosaukumu un IP adresi, ja tāda ir pieejama.
Hashes: nosaka faila nosaukumu, kurā tika saglabāts kopētais teksts (līdzīgi darbam ar FileDelete tipa notikumiem).
Arhivēts: statusu, vai teksts no starpliktuves tika saglabāts Sysmon arhīva direktorijā.
Pēdējie pāris lauki ir satraucoši. Fakts ir tāds, ka kopš 11. versijas Sysmon var (ar atbilstošiem iestatījumiem) saglabāt dažādus datus savā arhīva direktorijā. Piemēram, notikuma ID 23 reģistrē failu dzēšanas notikumus un tos visus var saglabāt vienā arhīva direktorijā. CLIP tags tiek pievienots to failu nosaukumiem, kas izveidoti, strādājot ar starpliktuvi. Pašos failos ir precīzi dati, kas tika kopēti starpliktuvē.
Šādi izskatās saglabātais fails
Instalēšanas laikā ir iespējota saglabāšana failā. Varat iestatīt baltos sarakstus procesiem, kuriem teksts netiks saglabāts.
Šādi izskatās Sysmon instalācija ar atbilstošiem arhīva direktoriju iestatījumiem:
Šeit, manuprāt, ir vērts atcerēties paroļu pārvaldniekus, kas izmanto arī starpliktuvi. Ja Sysmon sistēmā ir paroļu pārvaldnieks, jūs (vai uzbrucējs) varēsit iegūt šīs paroles. Pieņemot, ka zināt, kurš process piešķir kopēto tekstu (un tas ne vienmēr ir paroļu pārvaldnieka process, bet varbūt kāds svchost), šo izņēmumu var pievienot baltajam sarakstam un nesaglabāt.
Jūs, iespējams, nezināt, bet attālais serveris uztver tekstu no starpliktuves, kad pārslēdzaties uz to RDP sesijas režīmā. Ja jums ir kaut kas starpliktuvē un jūs pārslēdzaties starp LAP sesijām, šī informācija tiks pārvietota ar jums.
Apkoposim Sysmon iespējas darbam ar starpliktuvi.
Fiksēts:
- Ielīmētā teksta teksta kopija, izmantojot LAP un lokāli;
- Tvert datus no starpliktuves, izmantojot dažādas utilītas/procesus;
- Kopējiet/ielīmējiet tekstu no/uz vietējās virtuālās mašīnas, pat ja šis teksts vēl nav ielīmēts.
Nav ierakstīts:
- Failu kopēšana/ielīmēšana no/uz lokālo virtuālo mašīnu;
- Kopējiet/ielīmējiet failus, izmantojot RDP
- Ļaunprātīga programmatūra, kas nolaupa jūsu starpliktuvi, raksta tikai pašā starpliktuvē.
Neskatoties uz tā neskaidrību, šāda veida notikumi ļaus atjaunot uzbrucēja darbību algoritmu un palīdzēs identificēt iepriekš nepieejamus datus, lai pēc uzbrukumiem izveidotu pēcnāves gadījumus. Ja satura rakstīšana starpliktuvē joprojām ir iespējota, ir svarīgi reģistrēt katru piekļuvi arhīva direktorijam un identificēt potenciāli bīstamās (nav iniciēts sysmon.exe).
Lai ierakstītu, analizētu un reaģētu uz iepriekš uzskaitītajiem notikumiem, varat izmantot rīku , kas apvieno visas trīs pieejas un turklāt ir efektīva centralizēta visu savākto neapstrādāto datu krātuve. Mēs varam konfigurēt tā integrāciju ar populārajām SIEM sistēmām, lai samazinātu to licencēšanas izmaksas, nododot neapstrādātu datu apstrādi un glabāšanu uz InTrust.
Lai uzzinātu vairāk par InTrust, izlasiet mūsu iepriekšējos rakstus vai .
(populārs raksts)
Avots: www.habr.com