Sysmon-ийн 12-р хувилбарыг 17-р сарын XNUMX-нд зарласан
Энэ төрлийн үйл явдлын мэдээлэл нь сэжигтэй үйл ажиллагааг (түүнчлэн шинэ эмзэг байдлыг) хянах шинэ боломжийг нээж өгдөг. Тэгэхээр хэн, хаана, яг юуг хуулбарлах гэж оролдсоныг та ойлгож болно. Зүсэлтийн доор шинэ үйл явдлын зарим талбаруудын тайлбар болон хэрэглээний хэд хэдэн тохиолдлууд байна.
Шинэ үйл явдал нь дараах талбаруудыг агуулна.
Зураг: санах ойд өгөгдөл бичих үйл явц.
Чуулган: санах ойг бичсэн сесс. Энэ нь систем байж болно (0)
онлайнаар эсвэл алсаас ажиллах үед гэх мэт.
ClientInfo: сессийн хэрэглэгчийн нэр, алсын сессийн хувьд эх хостын нэр, боломжтой бол IP хаягийг агуулна.
Хэш: хуулсан текстийг хадгалсан файлын нэрийг тодорхойлно (FileDelete төрлийн үйл явдлуудтай ажиллахтай адил).
Архивлагдсан: статус, санах ойн текст Sysmon архивын санд хадгалагдсан эсэх.
Сүүлийн хоёр талбар нь түгшүүр төрүүлж байна. Баримт нь 11-р хувилбараас хойш Sysmon (зохих тохиргоотой) янз бүрийн өгөгдлийг архивын лавлахдаа хадгалах боломжтой. Жишээлбэл, Event ID 23 нь файл устгах үйл явдлуудыг бүртгэдэг бөгөөд бүгдийг нь нэг архивын санд хадгалах боломжтой. CLIP шошго нь санах ойтой ажиллахын үр дүнд бий болсон файлуудын нэрэнд нэмэгддэг. Файлууд нь өөрөө санах ой руу хуулсан өгөгдлийг агуулдаг.
Хадгалсан файл иймэрхүү харагдаж байна
Суулгах явцад файлд хадгалахыг идэвхжүүлсэн. Та текстийг хадгалахгүй процессуудын цагаан жагсаалтыг тохируулж болно.
Тохирох архивын лавлах тохиргоог хийснээр Sysmon суулгац дараах байдалтай байна.
Энд би санах ойг ашигладаг нууц үгийн менежерүүдийг санах нь зүйтэй гэж би бодож байна. Нууц үгийн менежертэй систем дээр Sysmon-ийг суулгаснаар танд (эсвэл халдагчид) эдгээр нууц үгийг олж авах боломжтой болно. Та хуулсан текстийг аль процессоор хуваарилж байгааг мэдэж байгаа гэж үзвэл (мөн энэ нь үргэлж нууц үгийн менежерийн процесс биш, гэхдээ магадгүй зарим svchost байж болно) энэ үл хамаарах зүйлийг цагаан жагсаалтад нэмж, хадгалахгүй.
Та мэдэхгүй байж магадгүй, гэхдээ RDP сесс горимд шилжих үед санах ойн текстийг алсын серверт авдаг. Хэрэв таны санах ойд ямар нэг зүйл байгаа бөгөөд та RDP сесс хооронд сэлгэвэл тэр мэдээлэл тантай хамт явах болно.
Sysmon-ийн санах ойтой ажиллах чадварыг нэгтгэн дүгнэж үзье.
Тогтмол:
- RDP болон локалаар буулгасан текстийн хуулбар;
- Төрөл бүрийн хэрэглүүр/процессоор санах ойноос өгөгдөл авах;
- Энэ текстийг хараахан буулгаагүй байсан ч локал виртуал машинаас текстийг хуулах/оруулах.
Бүртгүүлээгүй:
- Дотоод виртуал машинаас файл хуулах/хуулах;
- RDP-ээр файл хуулах/оруулах
- Таны санах ойг хулгайлсан хортой програм нь зөвхөн санах ой руугаа бичдэг.
Хэдийгээр тодорхойгүй байгаа ч энэ төрлийн үйл явдал нь халдагчийн үйлдлийн алгоритмыг сэргээх боломжийг олгож, халдлагын дараа үхлийн дараах хэлбэрийг бий болгохын тулд урьд өмнө нэвтэрч байгаагүй өгөгдлийг тодорхойлоход тусална. Хэрэв санах ойд контент бичихийг идэвхжүүлсэн хэвээр байгаа бол архивын лавлах руу нэвтрэх бүрийг бүртгэж, аюултай байж болзошгүйг (sysmon.exe-ээс эхлүүлээгүй) тодорхойлох нь чухал юм.
Дээр дурдсан үйл явдлыг бүртгэх, дүн шинжилгээ хийх, хариу үйлдэл үзүүлэхийн тулд та уг хэрэгслийг ашиглаж болно
InTrust-ийн талаар илүү ихийг мэдэхийг хүсвэл манай өмнөх нийтлэлүүдийг уншина уу
Эх сурвалж: www.habr.com