Izid različice 12 Sysmona je bil objavljen 17. septembra ob . Pravzaprav sta bili na ta dan izdani tudi novi različici Process Monitor in ProcDump. V tem članku bom govoril o ključni in kontroverzni novosti različice 12 Sysmona - vrsti dogodkov z ID-jem dogodka 24, v katerega je zapisano delo z odložiščem.
Informacije iz tovrstnih dogodkov odpirajo nove priložnosti za spremljanje sumljivih dejavnosti (kot tudi novih ranljivosti). Tako lahko razumete, kdo, kje in kaj natančno so poskušali kopirati. Pod rezom je opis nekaterih polj novega dogodka in nekaj primerov uporabe.
Nov dogodek vsebuje naslednja polja:
Slika: proces, iz katerega so bili podatki zapisani v odložišče.
Seja: seja, v kateri je bilo zapisano odložišče. Lahko bi bil sistem (0)
pri delu na spletu ali na daljavo itd.
Podatki o stranki: vsebuje uporabniško ime seje in, v primeru oddaljene seje, izvirno ime gostitelja in naslov IP, če je na voljo.
Haši: določi ime datoteke, v katero je bilo shranjeno kopirano besedilo (podobno kot pri delu z dogodki tipa FileDelete).
Arhivirano: stanje, ali je bilo besedilo iz odložišča shranjeno v arhivskem imeniku Sysmon.
Zadnjih nekaj polj je zaskrbljujočih. Dejstvo je, da lahko Sysmon od različice 11 dalje (z ustreznimi nastavitvami) shranjuje različne podatke v svoj arhivski imenik. Na primer, ID dogodka 23 beleži dogodke brisanja datotek in jih lahko vse shrani v isti arhivski imenik. Oznaka CLIP je dodana imenu datotek, ustvarjenih kot rezultat dela z odložiščem. Datoteke same vsebujejo natančne podatke, ki so bili kopirani v odložišče.
Tako izgleda shranjena datoteka
Med namestitvijo je omogočeno shranjevanje v datoteko. Nastavite lahko bele sezname procesov, za katere besedilo ne bo shranjeno.
Tako izgleda namestitev Sysmona z ustreznimi nastavitvami arhivskega imenika:
Tu mislim, da se je vredno spomniti upraviteljev gesel, ki uporabljajo tudi odložišče. Če imate Sysmon v sistemu z upraviteljem gesel, boste (ali napadalec) lahko zajeli ta gesla. Ob predpostavki, da veste, kateri proces dodeljuje kopirano besedilo (in to ni vedno postopek upravitelja gesel, ampak morda kakšen svchost), lahko to izjemo dodate na beli seznam in je ne shranite.
Morda niste vedeli, vendar besedilo iz odložišča zajame oddaljeni strežnik, ko preklopite nanj v načinu seje RDP. Če imate nekaj v odložišču in preklapljate med sejami RDP, bodo te informacije potovale z vami.
Povzemimo zmožnosti Sysmona za delo z odložiščem.
Popravljeno:
- Besedilna kopija prilepljenega besedila prek RDP in lokalno;
- Zajem podatkov iz odložišča z različnimi pripomočki/procesi;
- Kopirajte/prilepite besedilo iz/v lokalni virtualni stroj, tudi če to besedilo še ni bilo prilepljeno.
Ni zabeleženo:
- Kopiranje/lepljenje datotek iz/na lokalni virtualni stroj;
- Kopiraj/prilepi datoteke prek RDP
- Zlonamerna programska oprema, ki ugrabi vaše odložišče, piše le v samo odložišče.
Kljub dvoumnosti vam bo ta vrsta dogodka omogočila obnovitev napadalčevega algoritma dejanj in pomagala identificirati prej nedostopne podatke za oblikovanje obdukcije po napadih. Če je pisanje vsebine v odložišče še vedno omogočeno, je pomembno, da zabeležite vsak dostop do arhivskega imenika in identificirate potencialno nevarne (ki jih ne sproži sysmon.exe).
Za snemanje, analizo in odziv na zgoraj navedene dogodke lahko uporabite orodje , ki združuje vse tri pristope, poleg tega pa je učinkovit centraliziran repozitorij vseh zbranih neobdelanih podatkov. Njegovo integracijo s priljubljenimi sistemi SIEM lahko konfiguriramo tako, da zmanjšamo stroške njihovega licenciranja s prenosom obdelave in shranjevanja neobdelanih podatkov na InTrust.
Če želite izvedeti več o InTrustu, preberite naše prejšnje članke oz .
(poljuden članek)
Vir: www.habr.com