Sysmon ၏ ဗားရှင်း 12 ထွက်ရှိမှုကို စက်တင်ဘာလ 17 ရက်နေ့တွင် ကြေညာခဲ့သည်။
ဤဖြစ်ရပ်အမျိုးအစားမှ အချက်အလက်များသည် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက် (အပြင် အားနည်းချက်အသစ်များ) ကို စောင့်ကြည့်ရန် အခွင့်အလမ်းသစ်များ ပွင့်စေသည်။ ဒါကြောင့် ဘယ်သူတွေ၊ ဘယ်နေရာမှာ ဘယ်လို ကူးယူဖို့ ကြိုးစားခဲ့ကြသလဲဆိုတာကို သင်နားလည်နိုင်ပါတယ်။ ဖြတ်တောက်မှုအောက်တွင် ဖြစ်ရပ်အသစ်၏ အကွက်အချို့နှင့် အသုံးပြုမှုကိစ္စအချို့၏ ဖော်ပြချက်ဖြစ်သည်။
အစီအစဉ်အသစ်တွင် အောက်ပါအကွက်များ ပါဝင်သည်-
image: အချက်အလက်များကို ကလစ်ဘုတ်သို့ ရေးမှတ်ထားသည့် လုပ်ငန်းစဉ်။
session: ကလစ်ဘုတ်ကို ရေးသားခဲ့သည့် အပိုင်း။ စနစ်(0) ဖြစ်နိုင်သည်။
အွန်လိုင်း သို့မဟုတ် အဝေးမှ အလုပ်လုပ်သည့်အခါ၊
ဖောက်သည်အချက်အလက်- စက်ရှင်အသုံးပြုသူအမည် ပါ၀င်ပြီး အဝေးထိန်းစက်ရှင်တစ်ခုအတွက်၊ ရရှိပါက မူရင်း hostname နှင့် IP လိပ်စာတို့ ပါဝင်ပါသည်။
Hashes- ကူးယူထားသော စာသားကို သိမ်းဆည်းထားသည့် ဖိုင်အမည်ကို ဆုံးဖြတ်သည် (FileDelete အမျိုးအစား၏ ဖြစ်ရပ်များနှင့် ဆင်တူသည်)။
သိမ်းဆည်းထားသည်- အခြေအနေ၊ ကလစ်ဘုတ်မှ စာသားကို Sysmon archive directory တွင် သိမ်းဆည်းခြင်း ရှိမရှိ၊
နောက်ဆုံးနယ်ပယ်နှစ်ခုသည် ထိတ်လန့်စရာကောင်းသည်။ ဗားရှင်း 11 Sysmon သည် (သင့်လျော်သောဆက်တင်များနှင့်အတူ) ဒေတာအမျိုးမျိုးကို ၎င်း၏ archive directory တွင်သိမ်းဆည်းနိုင်သောကြောင့်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Event ID 23 သည် ဖိုင်ဖျက်ခြင်းဖြစ်ရပ်များကို မှတ်တမ်းမှတ်ပြီး ၎င်းတို့အားလုံးကို တူညီသော archive directory တွင် သိမ်းဆည်းနိုင်သည်။ ကလစ်ဘုတ်ဖြင့် လုပ်ဆောင်ခြင်းကြောင့် ဖန်တီးထားသော ဖိုင်များ၏ အမည်တွင် ကလစ်တဂ်ကို ပေါင်းထည့်ထားသည်။ ဖိုင်များသည် ကလစ်ဘုတ်သို့ ကူးယူထားသည့် ဒေတာအတိအကျ ပါဝင်ပါသည်။
ဤသည်မှာ သိမ်းဆည်းထားသော ဖိုင်နှင့် တူသည်။
ထည့်သွင်းစဉ်အတွင်း ဖိုင်တစ်ခုသို့ သိမ်းဆည်းခြင်းကို ဖွင့်ထားသည်။ စာသားကို သိမ်းဆည်းမည်မဟုတ်သည့် လုပ်ငန်းစဉ်များ၏ အဖြူရောင်စာရင်းများကို သင်သတ်မှတ်နိုင်သည်။
သင့်လျော်သော archive directory settings ဖြင့် Sysmon တပ်ဆင်မှုသည် ပုံသဏ္ဌာန်ဖြစ်သည်။
ဒီနေရာမှာ၊ ကလစ်ဘုတ်ကိုလည်းသုံးတဲ့ စကားဝှက်မန်နေဂျာတွေကို သတိရသင့်တယ်လို့ ကျွန်တော်ထင်ပါတယ်။ စကားဝှက်မန်နေဂျာပါရှိသော စနစ်တစ်ခုတွင် Sysmon ရှိခြင်းက သင့်ကို (သို့မဟုတ် တိုက်ခိုက်သူ) က ထိုစကားဝှက်များကို ဖမ်းယူနိုင်စေမည်ဖြစ်သည်။ ကူးယူထားသော စာသားကို ခွဲဝေပေးနေသည့် လုပ်ငန်းစဉ်ကို သင်သိသည်ဟု ယူဆပါက (၎င်းသည် အမြဲတမ်း စကားဝှက် မန်နေဂျာ လုပ်ငန်းစဉ် မဟုတ်သော်လည်း အချို့သော svchost ဖြစ်နိုင်သည်)၊ ဤခြွင်းချက်အား အဖြူရောင်စာရင်းတွင် ထည့်သွင်းနိုင်ပြီး သိမ်းဆည်းခြင်း မပြုနိုင်ပါ။
သင်မသိနိုင်သော်လည်း RDP စက်ရှင်မုဒ်တွင် သင် ၎င်းသို့ပြောင်းသောအခါ အဝေးထိန်းဆာဗာမှ ကလစ်ဘုတ်မှ စာသားကို ဖမ်းယူထားသည်။ သင့်ကလစ်ဘုတ်ပေါ်တွင် တစ်ခုခုရှိပြီး RDP sessions များကြားတွင် သင်ပြောင်းပါက၊ ထိုအချက်အလက်များသည် သင်နှင့်အတူ လိုက်ပါလာမည်ဖြစ်သည်။
ကလစ်ဘုတ်ဖြင့်အလုပ်လုပ်ရန်အတွက် Sysmon ၏စွမ်းရည်များကို အကျဉ်းချုံးကြည့်ကြပါစို့။
သတ်မှတ်ထားတဲ့:
- RDP မှတဆင့် ကူးထည့်ထားသော စာသားမိတ္တူနှင့် စက်တွင်း၊
- အမျိုးမျိုးသော အသုံးအဆောင်များ/လုပ်ငန်းစဉ်များဖြင့် ကလစ်ဘုတ်မှဒေတာကို ဖမ်းယူပါ။
- ဤစာသားကို ကူးထည့်ခြင်းမပြုသေးသော်လည်း၊ စက်တွင်းရှိ virtual machine မှ/သို့ စာသားကို ကူး/ကူးထည့်ပါ။
မှတ်တမ်းတင်မထားပါ
- ဖိုင်များကို မိတ္တူကူးခြင်း/ ကူးထည့်ခြင်း/ ဖိုင်များကို ပြည်တွင်းရှိ virtual machine တစ်ခုသို့ ကူးယူခြင်း
- RDP မှတစ်ဆင့် ဖိုင်များကို ကူး/ကူးထည့်ပါ။
- သင့်ကလစ်ဘုတ်ကို ပြန်ခိုးယူသည့် malware သည် ကလစ်ဘုတ်ကိုယ်တိုင်သာ ရေးသားသည်။
၎င်း၏ရှင်းလင်းမှုမရှိသော်လည်း၊ ဤဖြစ်ရပ်အမျိုးအစားသည် သင့်အား တိုက်ခိုက်သူ၏လုပ်ဆောင်မှုများ၏ အယ်လဂိုရီသမ်ကို ပြန်လည်ရယူရန်နှင့် တိုက်ခိုက်မှုပြီးနောက် အသေအပျောက်များဖွဲ့စည်းခြင်းအတွက် ယခင်က လက်လှမ်းမမီသောဒေတာကို ခွဲခြားသတ်မှတ်ရန် ကူညီပေးပါမည်။ ကလစ်ဘုတ်တွင် အကြောင်းအရာရေးသားခြင်းကို ဖွင့်ထားဆဲဖြစ်ပါက၊ မှတ်တမ်းမှတ်တမ်းသို့ ဝင်ရောက်ခွင့်တိုင်းကို မှတ်တမ်းတင်ရန်နှင့် အန္တရာယ်ဖြစ်နိုင်ချေများကို ခွဲခြားသတ်မှတ်ရန် အရေးကြီးသည် (sysmon.exe မှ အစပြုခြင်းမရှိ)။
အထက်ဖော်ပြပါဖြစ်ရပ်များကို မှတ်တမ်းတင်ခြင်း၊ ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် တုံ့ပြန်ရန်၊ သင်ကိရိယာကို အသုံးပြုနိုင်သည်။
InTrust အကြောင်းပိုမိုလေ့လာရန်၊ ကျွန်ုပ်တို့၏ယခင်ဆောင်းပါးများကိုဖတ်ပါ သို့မဟုတ်
source: www.habr.com