Vydanie verzie 12 Sysmonu bolo oznámené 17. septembra o hod . V tento deň totiž vyšli aj nové verzie Process Monitor a ProcDump. V tomto článku budem hovoriť o kľúčovej a kontroverznej inovácii verzie 12 Sysmon – typu udalostí s Event ID 24, do ktorých sa prihlasuje práca so schránkou.
Informácie z tohto typu udalostí otvárajú nové možnosti sledovania podozrivej aktivity (ako aj nových zraniteľností). Takže môžete pochopiť, kto, kde a čo presne sa pokúsili skopírovať. Pod strihom je popis niektorých polí novej udalosti a pár prípadov použitia.
Nová udalosť obsahuje nasledujúce polia:
obrázok: proces, z ktorého boli údaje zapísané do schránky.
session: reláciu, v ktorej bola schránka napísaná. Môže to byť systém (0)
pri práci online alebo na diaľku atď.
ClientInfo: obsahuje používateľské meno relácie a v prípade vzdialenej relácie pôvodný názov hostiteľa a adresu IP, ak sú k dispozícii.
hash: určuje názov súboru, do ktorého bol skopírovaný text uložený (podobne ako pri práci s udalosťami typu FileDelete).
Archivované: stav, či bol text zo schránky uložený v adresári archívu Sysmon.
Posledných pár polí je alarmujúcich. Faktom je, že od verzie 11 môže Sysmon (s príslušnými nastaveniami) ukladať rôzne údaje do svojho archívneho adresára. Napríklad Event ID 23 zaznamenáva udalosti vymazania súboru a môže ich všetky uložiť do rovnakého archívneho adresára. Značka CLIP sa pridáva k názvu súborov vytvorených ako výsledok práce so schránkou. Samotné súbory obsahujú presné údaje, ktoré boli skopírované do schránky.
Takto vyzerá uložený súbor
Ukladanie do súboru je povolené počas inštalácie. Môžete nastaviť biele zoznamy procesov, pre ktoré sa text nebude ukladať.
Takto vyzerá inštalácia Sysmon s príslušnými nastaveniami archívneho adresára:
Tu si myslím, že stojí za to pamätať na správcov hesiel, ktorí tiež používajú schránku. Sysmon v systéme so správcom hesiel vám (alebo útočníkovi) umožní zachytiť tieto heslá. Za predpokladu, že viete, ktorý proces prideľuje skopírovaný text (a toto nie je vždy proces správcu hesiel, ale možno nejaký svchost), môže byť táto výnimka pridaná do bieleho zoznamu a nie uložená.
Možno neviete, ale text zo schránky zachytí vzdialený server, keď sa naň prepnete v režime relácie RDP. Ak máte niečo v schránke a prepínate medzi reláciami RDP, tieto informácie budú cestovať s vami.
Poďme si zhrnúť možnosti Sysmonu pre prácu so schránkou.
Opravené:
- Textová kópia prilepeného textu cez RDP a lokálne;
- Zachyťte údaje zo schránky pomocou rôznych nástrojov/procesov;
- Skopírujte/prilepte text z/do lokálneho virtuálneho počítača, aj keď tento text ešte nebol vložený.
Nezaznamenané:
- Kopírovanie/vkladanie súborov z/do lokálneho virtuálneho počítača;
- Skopírujte/prilepte súbory cez RDP
- Malvér, ktorý unesie vašu schránku, zapisuje iba do samotnej schránky.
Napriek svojej nejednoznačnosti vám tento typ udalosti umožní obnoviť útočníkov algoritmus akcií a pomôže identifikovať predtým nedostupné údaje na vytvorenie posmrtných útokov. Ak je stále povolený zápis obsahu do schránky, je dôležité zaznamenať každý prístup do archívneho adresára a identifikovať potenciálne nebezpečné (neiniciované sysmon.exe).
Na zaznamenanie, analýzu a reakciu na udalosti uvedené vyššie môžete použiť nástroj , ktorý kombinuje všetky tri prístupy a navyše je efektívnym centralizovaným úložiskom všetkých zozbieraných nespracovaných dát. Môžeme nakonfigurovať jeho integráciu s populárnymi systémami SIEM, aby sme minimalizovali náklady na ich licencovanie prenesením spracovania a ukladania nespracovaných údajov do InTrust.
Ak sa chcete dozvedieť viac o InTrust, prečítajte si naše predchádzajúce články resp .
(populárny článok)
Zdroj: hab.com