Keluaran versi 12 Sysmon diumumkan pada 17 September di . Malah, versi baharu Process Monitor dan ProcDump turut dikeluarkan pada hari ini. Dalam artikel ini saya akan bercakap tentang inovasi utama dan kontroversi versi 12 Sysmon - jenis acara dengan ID Peristiwa 24, yang mana kerja dengan papan keratan dilog masuk.
Maklumat daripada jenis acara ini membuka peluang baharu untuk memantau aktiviti yang mencurigakan (serta kelemahan baharu). Jadi, anda boleh memahami siapa, di mana dan apa sebenarnya yang mereka cuba salin. Di bawah potongan ialah perihalan beberapa medan acara baharu dan beberapa kes penggunaan.
Acara baharu mengandungi medan berikut:
Gambar: proses dari mana data ditulis ke papan keratan.
Sesi: sesi di mana papan keratan itu ditulis. Ia boleh jadi sistem(0)
apabila bekerja dalam talian atau dari jauh, dsb.
Maklumat Pelanggan: mengandungi nama pengguna sesi dan, dalam kes sesi jauh, nama hos dan alamat IP asal, jika tersedia.
Hashes: menentukan nama fail di mana teks yang disalin telah disimpan (serupa dengan bekerja dengan acara jenis FileDelete).
Diarkibkan: status, sama ada teks daripada papan keratan telah disimpan dalam direktori arkib Sysmon.
Beberapa medan terakhir membimbangkan. Hakikatnya ialah sejak versi 11 Sysmon boleh (dengan tetapan yang sesuai) menyimpan pelbagai data ke direktori arkibnya. Contohnya, Event ID 23 mencatatkan peristiwa pemadaman fail dan boleh menyimpan semuanya dalam direktori arkib yang sama. Teg CLIP ditambahkan pada nama fail yang dibuat hasil daripada bekerja dengan papan keratan. Fail itu sendiri mengandungi data tepat yang telah disalin ke papan keratan.
Beginilah rupa fail yang disimpan
Menyimpan ke fail didayakan semasa pemasangan. Anda boleh menetapkan senarai putih proses yang teksnya tidak akan disimpan.
Inilah rupa pemasangan Sysmon dengan tetapan direktori arkib yang sesuai:
Di sini, saya fikir, perlu diingati pengurus kata laluan yang juga menggunakan papan keratan. Mempunyai Sysmon pada sistem dengan pengurus kata laluan akan membolehkan anda (atau penyerang) menangkap kata laluan tersebut. Dengan mengandaikan bahawa anda tahu proses mana yang memperuntukkan teks yang disalin (dan ini tidak selalunya proses pengurus kata laluan, tetapi mungkin beberapa svchost), pengecualian ini boleh ditambah ke senarai putih dan tidak disimpan.
Anda mungkin tidak tahu, tetapi teks daripada papan keratan ditangkap oleh pelayan jauh apabila anda bertukar kepadanya dalam mod sesi RDP. Jika anda mempunyai sesuatu pada papan keratan anda dan anda bertukar antara sesi RDP, maklumat itu akan dibawa bersama anda.
Mari kita ringkaskan keupayaan Sysmon untuk bekerja dengan papan keratan.
Tetap:
- Salinan teks teks yang ditampal melalui RDP dan setempat;
- Tangkap data daripada papan keratan melalui pelbagai utiliti/proses;
- Salin/tampal teks dari/ke mesin maya tempatan, walaupun teks ini belum lagi ditampal.
Tidak direkodkan:
- Menyalin/menampal fail dari/ke mesin maya tempatan;
- Salin/tampal fail melalui RDP
- Perisian hasad yang merampas papan keratan anda hanya menulis pada papan keratan itu sendiri.
Walaupun kekaburannya, jenis peristiwa ini akan membolehkan anda memulihkan algoritma tindakan penyerang dan membantu mengenal pasti data yang tidak boleh diakses sebelum ini untuk pembentukan bedah siasat selepas serangan. Jika menulis kandungan pada papan keratan masih didayakan, adalah penting untuk merekodkan setiap akses kepada direktori arkib dan mengenal pasti yang berpotensi berbahaya (tidak dimulakan oleh sysmon.exe).
Untuk merekod, menganalisis dan bertindak balas terhadap peristiwa yang disenaraikan di atas, anda boleh menggunakan alat tersebut , yang menggabungkan ketiga-tiga pendekatan dan, sebagai tambahan, merupakan repositori terpusat yang berkesan bagi semua data mentah yang dikumpul. Kami boleh mengkonfigurasi penyepaduannya dengan sistem SIEM yang popular untuk meminimumkan kos pelesenan mereka dengan memindahkan pemprosesan dan penyimpanan data mentah kepada InTrust.
Untuk mengetahui lebih lanjut tentang InTrust, baca artikel kami sebelum ini atau .
(artikel popular)
Sumber: www.habr.com