ProHoster > Blog > Pulega > Ua mafai nei e Sysmon ona tusia mea i totonu o le laupapa

Ua mafai nei e Sysmon ona tusia mea i totonu o le laupapa

O le faʻasalalauga o le version 12 o Sysmon na faʻasalalau ia Setema 17 i Sysinternals itulau. O le mea moni, o lomiga fou o le Process Monitor ma le ProcDump na faʻasaʻolotoina i lenei aso. I lenei tusiga o le a ou talanoa e uiga i le ki ma feeseeseaiga fou o le version 12 o Sysmon - o le ituaiga o mea na tutupu ma ID ID 24, lea o loʻo faʻapipiʻiina ai le galuega ma le kilipa laupapa.

Ua mafai nei e Sysmon ona tusia mea i totonu o le laupapa

O faʻamatalaga mai lenei ituaiga o mea na tupu e tatalaina ai avanoa fou e mataʻituina ai gaioiga masalomia (faʻapea foʻi ma faʻafitauli fou). O lea, e mafai ona e malamalama po o ai, o fea ma le mea tonu na latou taumafai e kopi. I lalo ifo o le tipi o loʻo i ai se faʻamatalaga o nisi o vaega o le mea fou na tupu ma ni faʻaoga faʻaoga.

O le mea fou na tupu o loʻo i ai vaega nei:

Ata: le fa'agasologa na tusia ai fa'amaumauga i le laupapa kilipa.
Sauniga: le sauniga na tusia ai le laupapa kilipa. E mafai ona avea ma faiga (0)
pe a galue i luga ole laiga pe mamao, ma isi.
ClientInfo: o lo'o i ai le igoa ole igoa ole sauniga ma, ile tulaga ole sauniga mamao, ole igoa ole igoa ole igoa ma le tuatusi IP, pe a maua.
Hashes: fuafua le igoa o le faila lea na teu ai le kopi kopi (e tutusa ma le galue ma mea na tutupu i le ituaiga FileDelete).
Fa'amaumauga: tulaga, pe o le tusitusiga mai le laupapa kilipa na sefe i le Sysmon archive directory.

O isi fanua mulimuli e fa'afefe. O le mea moni talu mai le version 11 Sysmon e mafai (faatasi ai ma tulaga talafeagai) faʻasaoina faʻamatalaga eseese i lana faʻamaumauga faʻamaumauga. Mo se fa'ata'ita'iga, o le Event ID 23 o lo'o fa'amauina mea e tapeina ai faila ma e mafai ona fa'asaoina uma i le fa'amaumauga e tasi. O le CLIP tag e faʻaopoopo i le igoa o faila na faia o se taunuuga o le galue ma le kilipa laupapa. O faila lava ia o lo'o i ai fa'amatalaga sa'o na kopi i le laupapa kilipa.

O le foliga lea o le faila ua teuina
Ua mafai nei e Sysmon ona tusia mea i totonu o le laupapa

O le teuina i se faila e mafai i le taimi o le faʻapipiʻiina. E mafai ona e setiina lisi pa'epa'e o faiga e le mafai ona fa'asaoina ai tusitusiga.

O le mea lea e foliga mai ai le faʻapipiʻiina o Sysmon faʻatasi ai ma faʻatonuga faʻamaumauga talafeagai:
Ua mafai nei e Sysmon ona tusia mea i totonu o le laupapa

O iinei, ou te manatu, e aoga le manatuaina o faʻamatalaga faʻaupuga e faʻaaoga foi le laupapa kilipa. O le i ai o Sysmon i luga o se faiga ma se pule faʻaupuga o le a faʻatagaina oe (poʻo se osofaʻiga) e puʻeina na upu faʻaulu. Fa'apea e te iloa po'o le a le fa'agasologa o lo'o fa'asoaina ai le kopi kopi (ma e le o taimi uma e fai ai le fa'aupuga o le password, ae atonu o nisi svchost), e mafai ona fa'aopoopoina lenei fa'alavelave i le lisi pa'epa'e ae le fa'asaoina.

Atonu e te le iloa, ae o le tusitusiga mai le kilipa laupapa e puʻeina e le server mamao pe a e fesuiaʻi i ai ile RDP session mode. Afai ei ai sau mea i luga o lau laupapa kilipa ma e te fesuiaʻi i le va o vasega RDP, o lena faʻamatalaga o le a malaga faʻatasi ma oe.

Sei o tatou aoteleina le gafatia o Sysmon mo le galue i le laupapa kilipa.

Fa'amau:

  • Kopi tusitusiga o tusitusiga fa'apipi'i e ala i le RDP ma le lotoifale;
  • Pu'e fa'amaumauga mai le laupapa kilipa e ala i fa'aoga eseese/fa'agaioiga;
  • Kopi/pa'i tusitusiga mai/i le masini fa'apitonu'u, tusa lava pe le'i fa'apipi'i lenei tusitusiga.

E le'i fa'amauina:

  • Kopi/faapipi'i faila mai/i se masini fa'apitonu'u;
  • Kopi/pasi faila ile RDP
  • O se mea leaga e faoa ai lau laupapa kilipa e na'o le tusi kilipa lava ia.

E ui lava i lona le mautonu, o lenei ituaiga o mea na tupu o le a mafai ai e oe ona toe faʻafoʻisia le algorithm o gaioiga a le tagata osofaʻi ma fesoasoani e faʻamaonia faʻamatalaga e le mafai ona maua muamua mo le faʻavaeina o faʻasalalauga pe a uma osofaʻiga. Afai o lo'o fa'aaga pea le tusiaina o mea i le laupapa kilipa, e taua le fa'amaumau o avanoa uma i le fa'amaumauga fa'amaumauga ma fa'ailoa mea e ono lamatia ai (e le'i amataina e sysmon.exe).

Ina ia faamaumauina, auʻiliʻili ma tali atu i mea na tutupu o loʻo lisiina i luga, e mafai ona e faʻaogaina le meafaigaluega InTrust, lea e tu'ufa'atasia uma auala e tolu ma, i se fa'aopoopoga, o se fa'aputuga fa'atotonugalemu lelei o fa'amaumauga mata'utia uma ua aoina. E mafai ona matou faʻatulagaina lona tuʻufaʻatasia ma faiga SIEM lauiloa e faʻaitiitia ai le tau o latou laisene e ala i le tuʻuina atu o le gaosiga ma le teuina o faʻamatalaga mataʻutia i le InTrust.

Ina ia aʻoaʻo atili e uiga i InTrust, faitau a matou tala muamua poʻo tu'u se talosaga ile fomu fa'amatalaga.

Faʻafefea ona faʻaitiitia le tau o le umiaina o se faiga SIEM ma pe aisea e te manaʻomia ai le Central Log Management (CLM)

Matou te faʻatagaina le aoina o mea na tutupu e uiga i le faʻalauiloaina o faiga masalomia i totonu Windows ma fa'ailoa mai ni fa'amata'u e fa'aaoga ai le Quest InTrust

E fa'afefea ona fesoasoani le InTrust e fa'aitiitia le fua o le fa'atagaina o taumafaiga e ala i le RDP

Matou te iloa se osofaʻiga ransomware, maua le avanoa i le pule o le domain ma taumafai e tetee atu i nei osofaʻiga

O a faʻamatalaga aoga e mafai ona maua mai ogalaau o se masini faigaluega faʻavae i luga o le OS? Windows (talatala lauiloa)

O ai na faia? Matou te fa'autometi su'etusi mo le puipuiga o fa'amatalaga

puna: www.habr.com

Faʻatau talimalo faʻatuatuaina mo nofoaga ma DDoS puipuiga, VPS VDS servers 🔥 Fa'atau le 'upega tafa'ilagi talimalo fa'atuatuaina ma le puipuiga DDoS, 'au'aunaga VPS VDS | ProHoster