د سیسمون د 12 نسخه خوشې کول د سپتمبر په 17 کې اعلان شو . په حقیقت کې ، د پروسې مانیټر او پروکډمپ نوې نسخې هم پدې ورځ خوشې شوې. پدې مقاله کې به زه د سیسمون 12 نسخه کلیدي او جنجالي نوښت په اړه وغږیږم - د پیښې ډول 24 سره د پیښې ډول چې د کلپ بورډ سره کار کوي.
د دې ډول پیښو څخه معلومات د شکمنو فعالیتونو (همدارنګه نوي زیانمننې) څارلو لپاره نوي فرصتونه پرانیزي. نو، تاسو کولی شئ پوه شئ چې څوک، چیرته او په حقیقت کې دوی د کاپي کولو هڅه کړې. د کټ لاندې د نوي پیښې ځینې برخو توضیحات او د کارولو څو قضیې دي.
نوې پیښه لاندې ساحې لري:
انځور: هغه پروسه چې له هغې څخه ډاټا کلپ بورډ ته لیکل شوې وه.
غونډه: هغه ناسته چې کلیپ بورډ لیکل شوی و. دا کیدای شي سیسټم وي (0)
کله چې آنلاین یا لیرې کار کوي، او داسې نور.
د پیرودونکي معلومات: د ناستې کارن نوم لري او د لرې ناستې په حالت کې، اصلي کوربه نوم او IP پته، که شتون ولري.
خندا: د فایل نوم ټاکي په کوم کې چې کاپي شوی متن خوندي شوی و (د فایل ډیلیټ ډول پیښو سره کار کولو ته ورته).
آرشیف شوی: حالت، ایا د کلیپ بورډ متن د سیسمون آرشیف لارښود کې خوندي شوی که نه.
وروستي دوه ساحې خطرناکې دي. حقیقت دا دی چې د 11 نسخه راهیسې سیسمون کولی شي (د مناسبو ترتیباتو سره) خپل آرشیف لارښود کې مختلف معلومات خوندي کړي. د مثال په توګه، د پیښې ID 23 د فایل حذف کولو پیښې ثبتوي او کولی شي دا ټول په ورته آرشیف لارښود کې خوندي کړي. د CLIP ټګ د کلپ بورډ سره د کار کولو په پایله کې رامینځته شوي فایلونو نوم ته اضافه کیږي. فایلونه پخپله دقیق معلومات لري چې کلپ بورډ ته کاپي شوي.
دا هغه څه دي چې خوندي شوي فایل ورته ښکاري
فایل ته خوندي کول د نصبولو پرمهال فعال شوي. تاسو کولی شئ د پروسو سپین لیست تنظیم کړئ د کوم لپاره چې متن به خوندي نشي.
دا هغه څه دي چې د سیسمون نصب کول د مناسب آرشیف لارښود ترتیباتو سره ښکاري:
دلته، زه فکر کوم، دا د پاسورډ مدیرانو په یادولو کې ارزښت لري چې کلپ بورډ هم کاروي. د پاسورډ مدیر سره په سیسټم کې د سیسمون درلودل به تاسو (یا برید کونکي) ته اجازه درکړي چې دا پاسورډونه ونیسي. فرض کړئ چې تاسو پوهیږئ چې کومه پروسه کاپي شوي متن تخصیص کوي (او دا تل د پاسورډ مدیر پروسه نه وي ، مګر شاید ځینې svchost) ، دا استثنا په سپین لیست کې اضافه کیدی شي او خوندي نه شي.
تاسو ممکن نه پوهیږئ، مګر د کلپ بورډ متن د ریموټ سرور لخوا نیول کیږي کله چې تاسو د RDP سیشن حالت کې تیر کړئ. که تاسو په خپل کلپ بورډ کې یو څه لرئ او تاسو د RDP سیشنونو تر مینځ تیر کړئ، دا معلومات به ستاسو سره سفر وکړي.
راځئ چې د کلپ بورډ سره کار کولو لپاره د سیسمون وړتیاوې لنډیز کړو.
ثابت:
- د پیسټ شوي متن متن کاپي د RDP له لارې او په محلي توګه؛
- د کلپ بورډ څخه د مختلفو اسانتیاوو / پروسو لخوا ډاټا نیول؛
- د محلي مجازی ماشین څخه / ته متن کاپي/پیسټ کړئ، حتی که دا متن لا تر اوسه نه وي پټ شوی.
نه ثبت شوی:
- د محلي مجازی ماشین څخه / ته د فایلونو کاپي / پیسټ کول؛
- د RDP له لارې فایلونه کاپي / پیسټ کړئ
- یو مالویر چې ستاسو کلپبورډ هجیک کوي یوازې پخپله کلپ بورډ ته لیکي.
د دې ابهام سره سره، دا ډول پیښه به تاسو ته اجازه درکړي چې د برید کونکي د عمل الګوریتم بیرته راولي او د بریدونو وروسته د پوسټ مارټمونو رامینځته کولو لپاره د پخوانیو لاس رسی وړ معلوماتو پیژندلو کې مرسته وکړي. که کلیپبورډ ته د مینځپانګې لیکل لاهم فعال وي ، نو دا مهمه ده چې آرشیف لارښود ته هر لاسرسی ثبت کړئ او احتمالي خطرناک پیژندل شوي (هغه چې د sysmon.exe لخوا پیل شوي ندي).
د پورته لیست شویو پیښو ثبتولو، تحلیل او عکس العمل ښودلو لپاره، تاسو کولی شئ وسیله وکاروئ ، کوم چې ټولې درې لارې سره یوځای کوي او سربیره پردې ، د ټولو راټول شوي خام معلوماتو مؤثره مرکزي ذخیره ده. موږ کولی شو د دې ادغام د مشهور SIEM سیسټمونو سره تنظیم کړو ترڅو InTrust ته د خام ډیټا پروسس کولو او ذخیره کولو له لارې د دوی جواز ورکولو لګښت کم کړو.
د InTrust په اړه د لا زیاتو معلوماتو لپاره، زموږ پخوانۍ مقالې ولولئ یا .
(مشهور مقاله)
سرچینه: www.habr.com