Sysmon-ийн 12-р хувилбарыг 17-р сарын XNUMX-нд зарласан . Үнэн хэрэгтээ энэ өдөр Process Monitor болон ProcDump-ийн шинэ хувилбарууд гарсан. Энэ нийтлэлд би Sysmon-ийн 12-р хувилбарын гол бөгөөд маргаантай шинэчлэлийн талаар ярих болно - санах ойтой ажиллахад нэвтэрсэн Event ID 24-тэй үйл явдлын төрөл.
Энэ төрлийн үйл явдлын мэдээлэл нь сэжигтэй үйл ажиллагааг (түүнчлэн шинэ эмзэг байдлыг) хянах шинэ боломжийг нээж өгдөг. Тэгэхээр хэн, хаана, яг юуг хуулбарлах гэж оролдсоныг та ойлгож болно. Зүсэлтийн доор шинэ үйл явдлын зарим талбаруудын тайлбар болон хэрэглээний хэд хэдэн тохиолдлууд байна.
Шинэ үйл явдал нь дараах талбаруудыг агуулна.
Зураг: санах ойд өгөгдөл бичих үйл явц.
Чуулган: санах ойг бичсэн сесс. Энэ нь систем байж болно (0)
онлайнаар эсвэл алсаас ажиллах үед гэх мэт.
ClientInfo: сессийн хэрэглэгчийн нэр, алсын сессийн хувьд эх хостын нэр, боломжтой бол IP хаягийг агуулна.
Хэш: хуулсан текстийг хадгалсан файлын нэрийг тодорхойлно (FileDelete төрлийн үйл явдлуудтай ажиллахтай адил).
Архивлагдсан: статус, санах ойн текст Sysmon архивын санд хадгалагдсан эсэх.
Сүүлийн хоёр талбар нь түгшүүр төрүүлж байна. Баримт нь 11-р хувилбараас хойш Sysmon (зохих тохиргоотой) янз бүрийн өгөгдлийг архивын лавлахдаа хадгалах боломжтой. Жишээлбэл, Event ID 23 нь файл устгах үйл явдлуудыг бүртгэдэг бөгөөд бүгдийг нь нэг архивын санд хадгалах боломжтой. CLIP шошго нь санах ойтой ажиллахын үр дүнд бий болсон файлуудын нэрэнд нэмэгддэг. Файлууд нь өөрөө санах ой руу хуулсан өгөгдлийг агуулдаг.
Хадгалсан файл иймэрхүү харагдаж байна
Суулгах явцад файлд хадгалахыг идэвхжүүлсэн. Та текстийг хадгалахгүй процессуудын цагаан жагсаалтыг тохируулж болно.
Тохирох архивын лавлах тохиргоог хийснээр Sysmon суулгац дараах байдалтай байна.
Энд би санах ойг ашигладаг нууц үгийн менежерүүдийг санах нь зүйтэй гэж би бодож байна. Нууц үгийн менежертэй систем дээр Sysmon-ийг суулгаснаар танд (эсвэл халдагчид) эдгээр нууц үгийг олж авах боломжтой болно. Та хуулсан текстийг аль процессоор хуваарилж байгааг мэдэж байгаа гэж үзвэл (мөн энэ нь үргэлж нууц үгийн менежерийн процесс биш, гэхдээ магадгүй зарим svchost байж болно) энэ үл хамаарах зүйлийг цагаан жагсаалтад нэмж, хадгалахгүй.
Та мэдэхгүй байж магадгүй, гэхдээ RDP сесс горимд шилжих үед санах ойн текстийг алсын серверт авдаг. Хэрэв таны санах ойд ямар нэг зүйл байгаа бөгөөд та RDP сесс хооронд сэлгэвэл тэр мэдээлэл тантай хамт явах болно.
Sysmon-ийн санах ойтой ажиллах чадварыг нэгтгэн дүгнэж үзье.
Тогтмол:
- RDP болон локалаар буулгасан текстийн хуулбар;
- Төрөл бүрийн хэрэглүүр/процессоор санах ойноос өгөгдөл авах;
- Энэ текстийг хараахан буулгаагүй байсан ч локал виртуал машинаас текстийг хуулах/оруулах.
Бүртгүүлээгүй:
- Дотоод виртуал машинаас файл хуулах/хуулах;
- RDP-ээр файл хуулах/оруулах
- Таны санах ойг хулгайлсан хортой програм нь зөвхөн санах ой руугаа бичдэг.
Хэдийгээр тодорхойгүй байгаа ч энэ төрлийн үйл явдал нь халдагчийн үйлдлийн алгоритмыг сэргээх боломжийг олгож, халдлагын дараа үхлийн дараах хэлбэрийг бий болгохын тулд урьд өмнө нэвтэрч байгаагүй өгөгдлийг тодорхойлоход тусална. Хэрэв санах ойд контент бичихийг идэвхжүүлсэн хэвээр байгаа бол архивын лавлах руу нэвтрэх бүрийг бүртгэж, аюултай байж болзошгүйг (sysmon.exe-ээс эхлүүлээгүй) тодорхойлох нь чухал юм.
Дээр дурдсан үйл явдлыг бүртгэх, дүн шинжилгээ хийх, хариу үйлдэл үзүүлэхийн тулд та уг хэрэгслийг ашиглаж болно , энэ нь бүх гурван аргыг хослуулсан бөгөөд үүнээс гадна цуглуулсан бүх түүхий мэдээллийн үр дүнтэй төвлөрсөн агуулах юм. Бид түүхий өгөгдлийг боловсруулах, хадгалах ажлыг InTrust руу шилжүүлэх замаар лицензийн зардлыг багасгахын тулд алдартай SIEM системүүдтэй нэгтгэх тохиргоог хийж болно.
InTrust-ийн талаар илүү ихийг мэдэхийг хүсвэл манай өмнөх нийтлэлүүдийг уншина уу .
(алдартай нийтлэл)
Эх сурвалж: www.habr.com