Utgivelsen av versjon 12 av Sysmon ble annonsert 17. september kl . Faktisk ble nye versjoner av Process Monitor og ProcDump også utgitt denne dagen. I denne artikkelen vil jeg snakke om nøkkelen og den kontroversielle innovasjonen til versjon 12 av Sysmon - typen hendelser med Event ID 24, der arbeid med utklippstavlen er logget inn.
Informasjon fra denne typen hendelser åpner for nye muligheter for å overvåke mistenkelig aktivitet (samt nye sårbarheter). Så du kan forstå hvem, hvor og nøyaktig hva de prøvde å kopiere. Under kuttet er en beskrivelse av noen felt av den nye hendelsen og et par brukstilfeller.
Den nye hendelsen inneholder følgende felt:
Bilde: prosessen hvorfra data ble skrevet til utklippstavlen.
Økt: økten der utklippstavlen ble skrevet. Det kan være system(0)
når du jobber online eller eksternt, etc.
Kundeinfo: inneholder øktens brukernavn og, i tilfelle en ekstern sesjon, det opprinnelige vertsnavnet og IP-adressen, hvis tilgjengelig.
Hashes: bestemmer navnet på filen der den kopierte teksten ble lagret (i likhet med å jobbe med hendelser av typen FileDelete).
Arkivert: status, om teksten fra utklippstavlen ble lagret i Sysmons arkivkatalog.
De siste par feltene er alarmerende. Faktum er at siden versjon 11 kan Sysmon (med passende innstillinger) lagre ulike data til sin arkivkatalog. For eksempel logger Event ID 23 filslettingshendelser og kan lagre dem alle i samme arkivkatalog. CLIP-koden legges til navnet på filene som er opprettet som et resultat av arbeidet med utklippstavlen. Selve filene inneholder de nøyaktige dataene som ble kopiert til utklippstavlen.
Slik ser den lagrede filen ut
Lagring til en fil er aktivert under installasjonen. Du kan angi hvite lister over prosesser som tekst ikke vil bli lagret for.
Slik ser Sysmon-installasjonen ut med de riktige arkivkataloginnstillingene:
Her tror jeg det er verdt å huske passordbehandlere som også bruker utklippstavlen. Å ha Sysmon på et system med en passordbehandling vil tillate deg (eller en angriper) å fange opp disse passordene. Forutsatt at du vet hvilken prosess som tildeler den kopierte teksten (og dette er ikke alltid passordbehandlingsprosessen, men kanskje noe svchost), kan dette unntaket legges til hvitelisten og ikke lagres.
Du vet kanskje ikke, men teksten fra utklippstavlen fanges opp av den eksterne serveren når du bytter til den i RDP-øktmodus. Hvis du har noe på utklippstavlen og du bytter mellom RDP-økter, vil den informasjonen reise med deg.
La oss oppsummere Sysmons evner for å jobbe med utklippstavlen.
Fikset:
- Tekstkopi av limt tekst via RDP og lokalt;
- Fang data fra utklippstavlen ved hjelp av ulike verktøy/prosesser;
- Kopier/lim inn tekst fra/til den lokale virtuelle maskinen, selv om denne teksten ennå ikke er limt inn.
Ikke registrert:
- Kopiere/lime inn filer fra/til en lokal virtuell maskin;
- Kopier/lim inn filer via RDP
- En skadelig programvare som kaprer utklippstavlen din, skriver bare til selve utklippstavlen.
Til tross for dens tvetydighet, vil denne typen hendelser tillate deg å gjenopprette angriperens handlingsalgoritme og bidra til å identifisere tidligere utilgjengelige data for dannelsen av obduksjoner etter angrep. Hvis skriving av innhold til utklippstavlen fortsatt er aktivert, er det viktig å registrere hver tilgang til arkivkatalogen og identifisere potensielt farlige (ikke initiert av sysmon.exe).
For å registrere, analysere og reagere på hendelsene som er oppført ovenfor, kan du bruke verktøyet , som kombinerer alle tre tilnærmingene og i tillegg er et effektivt sentralisert oppbevaringssted for alle innsamlede rådata. Vi kan konfigurere integrasjonen med populære SIEM-systemer for å minimere kostnadene for lisensiering ved å overføre behandlingen og lagringen av rådata til InTrust.
For å lære mer om InTrust, les våre tidligere artikler eller .
(populær artikkel)
Kilde: www.habr.com