Lëshimi i versionit 12 të Sysmon u njoftua më 17 shtator në
Informacioni nga ky lloj ngjarjesh hap mundësi të reja për të monitoruar aktivitetin e dyshimtë (si dhe dobësi të reja). Pra, mund të kuptoni se kush, ku dhe çfarë saktësisht u përpoqën të kopjojnë. Më poshtë prerjes është një përshkrim i disa fushave të ngjarjes së re dhe disa raste përdorimi.
Ngjarja e re përmban fushat e mëposhtme:
Image: procesi nga i cili të dhënat janë shkruar në clipboard.
Sesioni: sesioni në të cilin është shkruar clipboard. Mund të jetë sistemi (0)
kur punoni online ose në distancë, etj.
Informacioni i Klientit: përmban emrin e përdoruesit të sesionit dhe, në rastin e një sesioni në distancë, emrin origjinal të hostit dhe adresën IP, nëse është e disponueshme.
Hashe: përcakton emrin e skedarit në të cilin është ruajtur teksti i kopjuar (ngjashëm me punën me ngjarje të tipit FileDelete).
Arkivuar: statusi, nëse teksti nga clipboard është ruajtur në drejtorinë e arkivit Sysmon.
Dy fushat e fundit janë alarmante. Fakti është se që nga versioni 11 Sysmon mund (me cilësimet e duhura) të ruajë të dhëna të ndryshme në drejtorinë e tij të arkivit. Për shembull, Event ID 23 regjistron ngjarjet e fshirjes së skedarëve dhe mund t'i ruajë të gjitha në të njëjtën drejtori arkivi. Etiketa CLIP i shtohet emrit të skedarëve të krijuar si rezultat i punës me clipboard. Vetë skedarët përmbajnë të dhënat e sakta që u kopjuan në clipboard.
Kështu duket skedari i ruajtur
Ruajtja në një skedar aktivizohet gjatë instalimit. Mund të vendosni lista të bardha të proceseve për të cilat teksti nuk do të ruhet.
Kështu duket instalimi i Sysmon me cilësimet e duhura të drejtorisë së arkivit:
Këtu, mendoj, ia vlen të kujtojmë menaxherët e fjalëkalimeve që përdorin gjithashtu klipin. Duke pasur Sysmon në një sistem me një menaxher fjalëkalimesh do t'ju lejojë (ose një sulmuesi) t'i kapni ato fjalëkalime. Duke supozuar se ju e dini se cili proces po shpërndan tekstin e kopjuar (dhe ky nuk është gjithmonë procesi i menaxherit të fjalëkalimeve, por ndoshta disa svchost), ky përjashtim mund të shtohet në listën e bardhë dhe të mos ruhet.
Mund të mos e dini, por teksti nga clipboard kapet nga serveri në distancë kur kaloni në të në modalitetin e sesionit RDP. Nëse keni diçka në kujtesën tuaj dhe kaloni midis sesioneve RDP, ai informacion do të udhëtojë me ju.
Le të përmbledhim aftësitë e Sysmon për të punuar me clipboard.
Rregulluar:
- Kopje me tekst të tekstit të ngjitur nëpërmjet RDP dhe në nivel lokal;
- Kapni të dhëna nga clipboard nga shërbime/procese të ndryshme;
- Kopjo/ngjit tekstin nga/në makinën virtuale lokale, edhe nëse ky tekst nuk është ngjitur ende.
Nuk është regjistruar:
- Kopjimi/ngjitja e skedarëve nga/në një makinë virtuale lokale;
- Kopjoni/ngjisni skedarët përmes RDP
- Një program keqdashës që rrëmben kujtesën tuaj të fragmenteve shkruan vetëm në vetë kujtesën.
Pavarësisht paqartësisë së tij, kjo lloj ngjarjeje do t'ju lejojë të rivendosni algoritmin e veprimeve të sulmuesit dhe të ndihmoni në identifikimin e të dhënave të paarritshme më parë për formimin e vdekjeve pas sulmeve. Nëse shkrimi i përmbajtjes në kujtesën e fragmenteve është ende i aktivizuar, është e rëndësishme të regjistroni çdo akses në drejtorinë e arkivit dhe të identifikoni ato potencialisht të rrezikshme (të pa iniciuara nga sysmon.exe).
Për të regjistruar, analizuar dhe reaguar ndaj ngjarjeve të listuara më sipër, mund të përdorni mjetin
Për të mësuar më shumë rreth InTrust, lexoni artikujt tanë të mëparshëm ose
Burimi: www.habr.com