Lëshimi i versionit 12 të Sysmon u njoftua më 17 shtator në . Në fakt, versionet e reja të Process Monitor dhe ProcDump u lëshuan gjithashtu në këtë ditë. Në këtë artikull do të flas për inovacionin kryesor dhe të diskutueshëm të versionit 12 të Sysmon - llojin e ngjarjeve me Event ID 24, në të cilat është regjistruar puna me clipboard.
Informacioni nga ky lloj ngjarjesh hap mundësi të reja për të monitoruar aktivitetin e dyshimtë (si dhe dobësi të reja). Pra, mund të kuptoni se kush, ku dhe çfarë saktësisht u përpoqën të kopjojnë. Më poshtë prerjes është një përshkrim i disa fushave të ngjarjes së re dhe disa raste përdorimi.
Ngjarja e re përmban fushat e mëposhtme:
Image: procesi nga i cili të dhënat janë shkruar në clipboard.
Sesioni: sesioni në të cilin është shkruar clipboard. Mund të jetë sistemi (0)
kur punoni online ose në distancë, etj.
Informacioni i Klientit: përmban emrin e përdoruesit të sesionit dhe, në rastin e një sesioni në distancë, emrin origjinal të hostit dhe adresën IP, nëse është e disponueshme.
Hashe: përcakton emrin e skedarit në të cilin është ruajtur teksti i kopjuar (ngjashëm me punën me ngjarje të tipit FileDelete).
Arkivuar: statusi, nëse teksti nga clipboard është ruajtur në drejtorinë e arkivit Sysmon.
Dy fushat e fundit janë alarmante. Fakti është se që nga versioni 11 Sysmon mund (me cilësimet e duhura) të ruajë të dhëna të ndryshme në drejtorinë e tij të arkivit. Për shembull, Event ID 23 regjistron ngjarjet e fshirjes së skedarëve dhe mund t'i ruajë të gjitha në të njëjtën drejtori arkivi. Etiketa CLIP i shtohet emrit të skedarëve të krijuar si rezultat i punës me clipboard. Vetë skedarët përmbajnë të dhënat e sakta që u kopjuan në clipboard.
Kështu duket skedari i ruajtur
Ruajtja në një skedar aktivizohet gjatë instalimit. Mund të vendosni lista të bardha të proceseve për të cilat teksti nuk do të ruhet.
Kështu duket instalimi i Sysmon me cilësimet e duhura të drejtorisë së arkivit:
Këtu, mendoj, ia vlen të kujtojmë menaxherët e fjalëkalimeve që përdorin gjithashtu klipin. Duke pasur Sysmon në një sistem me një menaxher fjalëkalimesh do t'ju lejojë (ose një sulmuesi) t'i kapni ato fjalëkalime. Duke supozuar se ju e dini se cili proces po shpërndan tekstin e kopjuar (dhe ky nuk është gjithmonë procesi i menaxherit të fjalëkalimeve, por ndoshta disa svchost), ky përjashtim mund të shtohet në listën e bardhë dhe të mos ruhet.
Mund të mos e dini, por teksti nga clipboard kapet nga serveri në distancë kur kaloni në të në modalitetin e sesionit RDP. Nëse keni diçka në kujtesën tuaj dhe kaloni midis sesioneve RDP, ai informacion do të udhëtojë me ju.
Le të përmbledhim aftësitë e Sysmon për të punuar me clipboard.
Rregulluar:
- Kopje me tekst të tekstit të ngjitur nëpërmjet RDP dhe në nivel lokal;
- Kapni të dhëna nga clipboard nga shërbime/procese të ndryshme;
- Kopjo/ngjit tekstin nga/në makinën virtuale lokale, edhe nëse ky tekst nuk është ngjitur ende.
Nuk është regjistruar:
- Kopjimi/ngjitja e skedarëve nga/në një makinë virtuale lokale;
- Kopjoni/ngjisni skedarët përmes RDP
- Një program keqdashës që rrëmben kujtesën tuaj të fragmenteve shkruan vetëm në vetë kujtesën.
Pavarësisht paqartësisë së tij, kjo lloj ngjarjeje do t'ju lejojë të rivendosni algoritmin e veprimeve të sulmuesit dhe të ndihmoni në identifikimin e të dhënave të paarritshme më parë për formimin e vdekjeve pas sulmeve. Nëse shkrimi i përmbajtjes në kujtesën e fragmenteve është ende i aktivizuar, është e rëndësishme të regjistroni çdo akses në drejtorinë e arkivit dhe të identifikoni ato potencialisht të rrezikshme (të pa iniciuara nga sysmon.exe).
Për të regjistruar, analizuar dhe reaguar ndaj ngjarjeve të listuara më sipër, mund të përdorni mjetin , i cili kombinon të tre qasjet dhe, përveç kësaj, është një depo efektive e centralizuar e të gjitha të dhënave të mbledhura të papërpunuara. Ne mund ta konfigurojmë integrimin e tij me sistemet e njohura SIEM për të minimizuar koston e licencimit të tyre duke transferuar përpunimin dhe ruajtjen e të dhënave të papërpunuara në InTrust.
Për të mësuar më shumë rreth InTrust, lexoni artikujt tanë të mëparshëm ose .
(artikull i njohur)
Burimi: www.habr.com