Ir-rilaxx tal-verżjoni 12 ta' Sysmon tħabbar fis-17 ta' Settembru fi . Fil-fatt, verżjonijiet ġodda ta 'Process Monitor u ProcDump ġew rilaxxati wkoll f'dan il-jum. F'dan l-artikolu ser nitkellem dwar l-innovazzjoni ewlenija u kontroversjali tal-verżjoni 12 ta 'Sysmon - it-tip ta' avvenimenti bl-Avveniment ID 24, li fih ix-xogħol mal-clipboard huwa illoggjat.
Informazzjoni minn dan it-tip ta' avveniment tiftaħ possibbiltajiet ġodda għall-monitoraġġ ta' attività suspettuża (kif ukoll vulnerabbiltajiet ġodda). Allura, tista 'tifhem lil min, fejn u x'ppruvaw jikkupjaw eżattament. Taħt il-qatgħa hemm deskrizzjoni ta 'xi oqsma tal-avveniment il-ġdid u ftit każijiet ta' użu.
L-avveniment il-ġdid fih l-oqsma li ġejjin:
Image: il-proċess li minnu nkitbet id-dejta fil-clipboard.
Sessjoni: is-sessjoni li fiha nkiteb il-clipboard. Jista' jkun sistema(0)
meta taħdem online jew mill-bogħod, eċċ.
KlijentInfo: fih l-isem tal-utent tas-sessjoni u, fil-każ ta’ sessjoni remota, l-isem tal-host oriġinali u l-indirizz IP, jekk disponibbli.
Hashes: jiddetermina l-isem tal-fajl li fih it-test ikkupjat ġie ffrankat (simili għal ħidma ma 'avvenimenti tat-tip FileDelete).
Arkivjat: status, kemm jekk it-test mill-clipboard kienx issejvjat fid-direttorju tal-arkivju Sysmon.
L-aħħar ftit oqsma huma allarmanti. Il-fatt hu li peress li l-verżjoni 11 Sysmon jista '(b'settings xierqa) jiffranka data varji fid-direttorju tal-arkivju tiegħu. Pereżempju, Event ID 23 jirreġistra l-avvenimenti tat-tħassir tal-fajl u jista 'jiffrankahom kollha fl-istess direttorju tal-arkivju. It-tikketta CLIP hija miżjuda mal-isem tal-fajls maħluqa bħala riżultat ta 'ħidma mal-clipboard. Il-fajls infushom fihom id-dejta eżatta li ġiet ikkupjata fil-clipboard.
Dan huwa kif jidher il-fajl salvat
L-iffrankar f'fajl huwa attivat waqt l-installazzjoni. Tista 'tissettja listi bojod ta' proċessi li għalihom it-test mhux se jiġi ssejvjat.
Dan huwa kif tidher l-installazzjoni Sysmon bis-settings xierqa tad-direttorju tal-arkivji:
Hawnhekk, naħseb, ta 'min jiftakar maniġers tal-passwords li jużaw ukoll il-clipboard. Li jkollok Sysmon fuq sistema b'maniġer tal-passwords jippermettilek (jew attakkant) taqbad dawk il-passwords. Jekk wieħed jassumi li taf liema proċess qed jalloka t-test ikkupjat (u dan mhux dejjem il-proċess tal-maniġer tal-password, iżda forsi xi svchost), din l-eċċezzjoni tista 'tiġi miżjuda mal-lista bajda u ma tiġix salvata.
Forsi ma tafx, iżda t-test mill-clipboard jinqabad mis-server remot meta taqleb għalih fil-modalità tas-sessjoni RDP. Jekk għandek xi ħaġa fuq il-clipboard tiegħek u taqleb bejn sessjonijiet RDP, dik l-informazzjoni se tivvjaġġa miegħek.
Ejja nġabru fil-qosor il-kapaċitajiet ta' Sysmon biex taħdem mal-clipboard.
Fiss:
- Kopja tat-test tat-test pasted permezz RDP u lokalment;
- Aqbad data mill-clipboard minn diversi utilitajiet/proċessi;
- Ikkopja/pejstja test minn/fuq il-magna virtwali lokali, anki jekk dan it-test għadu ma ġiex imwaħħal.
Mhux irreġistrat:
- Ikkopja/itwaħħal fajls minn/għal magna virtwali lokali;
- Ikkopja/pejstja fajls permezz RDP
- Malware li jaħtaf il-clipboard tiegħek jikteb biss fil-clipboard innifsu.
Minkejja l-ambigwità tiegħu, dan it-tip ta 'avveniment jippermettilek tirrestawra l-algoritmu ta' azzjonijiet tal-attakkant u tgħin biex tidentifika dejta li qabel kienet inaċċessibbli għall-formazzjoni ta 'post-mortems wara attakki. Jekk il-kitba tal-kontenut fil-clipboard għadha attivata, huwa importanti li tirreġistra kull aċċess għad-direttorju tal-arkivju u tidentifika dawk potenzjalment perikolużi (mhux mibdija minn sysmon.exe).
Biex tirreġistra, tanalizza u tirreaġixxi għall-avvenimenti elenkati hawn fuq, tista 'tuża l-għodda , li tgħaqqad it-tliet approċċi u, barra minn hekk, hija repożitorju ċentralizzat effettiv tad-dejta mhux ipproċessata kollha miġbura. Nistgħu kkonfiguraw l-integrazzjoni tagħha ma 'sistemi SIEM popolari biex innaqqsu l-ispiża tal-liċenzjar tagħhom billi tittrasferixxi l-ipproċessar u l-ħażna ta' data mhux maħduma lil InTrust.
Biex titgħallem aktar dwar InTrust, aqra l-artikoli preċedenti tagħna jew .
(artiklu popolari)
Sors: www.habr.com