De release van versie 12 van Sysmon werd op 17 september aangekondigd om . Sterker nog, er zijn op deze dag ook nieuwe versies van Process Monitor en ProcDump uitgebracht. In dit artikel zal ik het hebben over de belangrijkste en controversiële innovatie van versie 12 van Sysmon: het type gebeurtenissen met Event ID 24, waarin het werk met het klembord wordt vastgelegd.
Informatie uit dit soort gebeurtenissen biedt nieuwe mogelijkheden om verdachte activiteiten (evenals nieuwe kwetsbaarheden) te monitoren. U kunt dus begrijpen wie, waar en wat ze precies probeerden te kopiëren. Onder de afbeelding vindt u een beschrijving van enkele velden van het nieuwe evenement en een aantal gebruiksscenario's.
Het nieuwe evenement bevat de volgende velden:
Afbeelding: het proces waarmee gegevens naar het klembord zijn geschreven.
Sessie: de sessie waarin het klembord is geschreven. Het zou systeem(0) kunnen zijn
wanneer u online of op afstand werkt, enz.
Klantinfo: bevat de gebruikersnaam van de sessie en, in het geval van een sessie op afstand, de originele hostnaam en het IP-adres, indien beschikbaar.
hasj: bepaalt de naam van het bestand waarin de gekopieerde tekst is opgeslagen (vergelijkbaar met het werken met gebeurtenissen van het type FileDelete).
Gearchiveerd: status, of de tekst van het klembord is opgeslagen in de Sysmon-archiefmap.
De laatste paar velden zijn alarmerend. Feit is dat Sysmon sinds versie 11 (met de juiste instellingen) verschillende gegevens in de archiefmap kan opslaan. Gebeurtenis-ID 23 registreert bijvoorbeeld bestandsverwijderingsgebeurtenissen en kan deze allemaal in dezelfde archiefmap opslaan. De CLIP-tag wordt toegevoegd aan de naam van bestanden die zijn gemaakt als resultaat van het werken met het klembord. De bestanden zelf bevatten de exacte gegevens die naar het klembord zijn gekopieerd.
Zo ziet het opgeslagen bestand eruit
Opslaan naar een bestand is ingeschakeld tijdens de installatie. U kunt witte lijsten instellen van processen waarvoor geen tekst wordt opgeslagen.
Zo ziet de Sysmon-installatie eruit met de juiste archiefmapinstellingen:
Hier denk ik dat het de moeite waard is om wachtwoordmanagers te onthouden die ook het klembord gebruiken. Als u Sysmon op een systeem met een wachtwoordbeheerder heeft, kunt u (of een aanvaller) die wachtwoorden onderscheppen. Ervan uitgaande dat u weet welk proces de gekopieerde tekst toewijst (en dit is niet altijd het wachtwoordbeheerproces, maar misschien een svchost), kan deze uitzondering aan de witte lijst worden toegevoegd en niet worden opgeslagen.
U weet het misschien niet, maar de tekst van het klembord wordt vastgelegd door de externe server wanneer u ernaar overschakelt in de RDP-sessiemodus. Als er iets op uw klembord staat en u wisselt tussen RDP-sessies, reist die informatie met u mee.
Laten we de mogelijkheden van Sysmon voor het werken met het klembord samenvatten.
Vast:
- Tekstkopie van geplakte tekst via RDP en lokaal;
- Gegevens van het klembord vastleggen met verschillende hulpprogramma's/processen;
- Kopieer/plak tekst van/naar de lokale virtuele machine, zelfs als deze tekst nog niet is geplakt.
Niet opgenomen:
- Bestanden kopiëren/plakken van/naar een lokale virtuele machine;
- Kopieer/plak bestanden via RDP
- Een malware die uw klembord kaapt, schrijft alleen naar het klembord zelf.
Ondanks de dubbelzinnigheid kun je met dit soort gebeurtenissen het actiealgoritme van de aanvaller herstellen en helpen bij het identificeren van voorheen ontoegankelijke gegevens voor de vorming van post-mortems na aanvallen. Als het schrijven van inhoud naar het klembord nog steeds is ingeschakeld, is het belangrijk om elke toegang tot de archiefmap te registreren en potentieel gevaarlijke toegangen te identificeren (niet geïnitieerd door sysmon.exe).
Om de hierboven genoemde gebeurtenissen vast te leggen, te analyseren en erop te reageren, kunt u de tool gebruiken , dat alle drie de benaderingen combineert en bovendien een effectieve gecentraliseerde opslagplaats is voor alle verzamelde ruwe gegevens. We kunnen de integratie ervan met populaire SIEM-systemen configureren om de kosten van hun licenties te minimaliseren door de verwerking en opslag van onbewerkte gegevens over te dragen aan InTrust.
Wilt u meer weten over InTrust, lees dan onze eerdere artikelen of .
(populair artikel)
Bron: www.habr.com