ProHoster > Blog > fitantanan-draharaha > Afaka manoratra votoaty amin'ny clipboard izao i Sysmon

Afaka manoratra votoaty amin'ny clipboard izao i Sysmon

Ny famoahana ny version 12 an'ny Sysmon dia nambara tamin'ny 17 septambra tao amin'ny Pejy sysinternals. Raha ny marina, navoaka tamin'io andro io ihany koa ny dikan-teny vaovao momba ny Process Monitor sy ProcDump. Amin'ity lahatsoratra ity dia hiresaka momba ny fanavaozana lehibe sy mampiady hevitra amin'ny version 12 an'ny Sysmon aho - ny karazana hetsika miaraka amin'ny Event ID 24, izay misy ny asa miaraka amin'ny clipboard.

Afaka manoratra votoaty amin'ny clipboard izao i Sysmon

Ny fampahalalana avy amin'ity karazana hetsika ity dia manokatra fahafahana vaovao hanaraha-maso ny hetsika mampiahiahy (ary koa ny vulnerability vaovao). Noho izany, azonao takarina hoe iza, aiza ary inona marina no nezahin'izy ireo hadika. Eo ambanin'ny fanapahana dia misy famaritana ny saha sasany amin'ny hetsika vaovao sy tranga fampiasana roa.

Ny hetsika vaovao dia ahitana ireto saha manaraka ireto:

Image: ny dingana izay nanoratana ny angona ho amin'ny solaitrabe.
Session: ny fivoriana izay nanoratana ny solaitrabe. Mety ho rafitra (0)
rehefa miasa an-tserasera na lavitra, sns.
ClientInfo: misy ny anaran'ny session ary, raha misy fivoriana lavitra, ny anaran'ny mpampiantrano sy ny adiresy IP, raha misy.
Hashes: mamaritra ny anaran'ny rakitra nitehirizana ny lahatsoratra nadika (mitovy amin'ny fiasana amin'ny hetsika amin'ny karazana FileDelete).
Voatahiry: status, raha voatahiry ao amin'ny lahatahiry arisiva Sysmon ny lahatsoratra avy amin'ny solaitrabe.

Mampiahiahy ireo saha roa farany. Ny zava-misy dia hatramin'ny dikan-teny 11 Sysmon dia afaka (miaraka amin'ny filaharana mety) mamonjy angon-drakitra isan-karazany ao amin'ny lahatahiry arsiva. Ohatra, ny Event ID 23 dia mirakitra hetsika famafana rakitra ary afaka mitahiry azy rehetra ao amin'ny lahatahiry arisiva iray ihany. Ny tenifototra CLIP dia ampiana amin'ny anaran'ny rakitra noforonina vokatry ny fiaraha-miasa amin'ny takelaka. Ny rakitra mihitsy no mirakitra ny angona marina izay nadika tamin'ny takelaka.

Toy izao ny endriky ny rakitra voatahiry
Afaka manoratra votoaty amin'ny clipboard izao i Sysmon

Ny fitehirizana amin'ny rakitra iray dia alefa mandritra ny fametrahana. Azonao atao ny mametraka lisitra fotsy amin'ireo dingana izay tsy hotehirizina ny lahatsoratra.

Toy izao ny fisehon'ny fametrahana Sysmon miaraka amin'ny firafitry ny lahatahiry arsiva mety:
Afaka manoratra votoaty amin'ny clipboard izao i Sysmon

Eto, heveriko fa mendrika ny mitadidy ireo mpitantana ny tenimiafina izay mampiasa ny takelaka ihany koa. Ny fananana Sysmon amin'ny rafitra misy mpitantana tenimiafina dia ahafahanao (na mpanafika) haka ireo tenimiafina ireo. Raha heverinao fa fantatrao hoe iza amin'ireo dingana no manolotra ny lahatsoratra nadika (ary tsy izany foana no fomba fiasan'ny mpitantana ny tenimiafina, fa angamba ny svchost sasany), ity tranga ity dia azo ampiana amin'ny lisitra fotsy fa tsy voavonjy.

Mety tsy fantatrao, fa ny lahatsoratra avy amin'ny clipboard dia nalain'ny mpizara lavitra rehefa mifindra amin'ny RDP session mode ianao. Raha manana zavatra eo amin'ny solaitrao ianao ary mifamadika eo anelanelan'ny fotoam-pivoriana RDP, dia hiaraka aminao izany fampahalalana izany.

Andao hamintina ny fahaizan'i Sysmon amin'ny fiasana amin'ny takelaka.

raikitra:

  • Dika mitovy amin'ny lahatsoratra apetaka amin'ny alΓ lan'ny RDP sy eo an-toerana;
  • Alao ny angona avy amin'ny takelaka amin'ny alΓ lan'ny fitaovana/fikarakarana isan-karazany;
  • Adikao/apetaho ny lahatsoratra avy amin'ny/amin'ny milina virtoaly eo an-toerana, na dia mbola tsy voapetaka aza ity lahatsoratra ity.

Tsy voarakitra:

  • Mandika / mametaka rakitra avy amin'ny / mankany amin'ny milina virtoaly eo an-toerana;
  • Mandika / mametaka rakitra amin'ny alΓ lan'ny RDP
  • Ny malware izay mandroba ny takelakao dia manoratra ao amin'ny solaitrabe ihany.

Na dia eo aza ny manjavozavo, ity karazana hetsika ity dia ahafahanao mamerina ny algorithm amin'ny hetsika ataon'ny mpanafika ary manampy amin'ny famantarana ny angona tsy azo idirana teo aloha ho an'ny fananganana post-mortem taorian'ny fanafihana. Raha mbola azo atao ny fanoratana votoaty amin'ny solaitrabe, dia zava-dehibe ny firaketana ny fidirana rehetra amin'ny lahatahiry arisiva ary hamantatra ireo mety hampidi-doza (tsy natomboky ny sysmon.exe).

Mba handrakitra, hamakafaka ary haneho hevitra amin'ireo hetsika voatanisa etsy ambony dia azonao atao ny mampiasa ilay fitaovana InTrust, izay manambatra ny fomba telo rehetra ary, ankoatra izany, dia fitehirizana mahomby amin'ny angon-drakitra voangona rehetra. Azontsika atao ny manamboatra ny fampidirana azy amin'ny rafitra SIEM malaza mba hampihenana ny vidin'ny fahazoan-dΓ lana amin'ny alΓ lan'ny famindrana ny fanodinana sy fitehirizana angona manta any amin'ny InTrust.

Raha te hianatra bebe kokoa momba ny InTrust, vakio ny lahatsoratra teo aloha na mamela fangatahana ao amin'ny endrika fanehoan-kevitra.

Ahoana ny fampihenana ny vidin'ny fananana rafitra SIEM ary nahoana ianao no mila Central Log Management (CLM)

Izahay dia mamela ny fanangonana hetsika momba ny fanombohana dingana mampiahiahy ao amin'ny Windows ary mamantatra ny fandrahonana amin'ny fampiasana Quest InTrust

Ahoana no ahafahan'ny InTrust manampy amin'ny fampihenana ny tahan'ny andrana fanomezan-dΓ lana tsy nahomby amin'ny alΓ lan'ny RDP

Mahita fanafihana ransomware izahay, mahazo fidirana amin'ny fanaraha-maso ny sehatra ary manandrana manohitra ireo fanafihana ireo

Inona no mety mahasoa avy amin'ny diarin'ny toeram-piasana miorina amin'ny Windows OS (lahatsoratra malaza)

Ary iza no nanao izany? Manao automatique ny fanaraha-maso momba ny fiarovana ny vaovao izahay

Source: www.habr.com

Add a comment