ProHoster > Blog > administratë > Sysmon tani mund të shkruajë përmbajtjen e clipboard

Sysmon tani mund të shkruajë përmbajtjen e clipboard

Lëshimi i versionit 12 të Sysmon u njoftua më 17 shtator në Faqja Sysinternals. Në fakt, versionet e reja të Process Monitor dhe ProcDump u lëshuan gjithashtu në këtë ditë. Në këtë artikull do të flas për inovacionin kryesor dhe të diskutueshëm të versionit 12 të Sysmon - llojin e ngjarjeve me Event ID 24, në të cilat është regjistruar puna me clipboard.

Sysmon tani mund të shkruajë përmbajtjen e clipboard

Informacioni nga ky lloj ngjarjesh hap mundësi të reja për të monitoruar aktivitetin e dyshimtë (si dhe dobësi të reja). Pra, mund të kuptoni se kush, ku dhe çfarë saktësisht u përpoqën të kopjojnë. Më poshtë prerjes është një përshkrim i disa fushave të ngjarjes së re dhe disa raste përdorimi.

Ngjarja e re përmban fushat e mëposhtme:

Image: procesi nga i cili të dhënat janë shkruar në clipboard.
Sesioni: sesioni në të cilin është shkruar clipboard. Mund të jetë sistemi (0)
kur punoni online ose në distancë, etj.
Informacioni i Klientit: përmban emrin e përdoruesit të sesionit dhe, në rastin e një sesioni në distancë, emrin origjinal të hostit dhe adresën IP, nëse është e disponueshme.
Hashe: përcakton emrin e skedarit në të cilin është ruajtur teksti i kopjuar (ngjashëm me punën me ngjarje të tipit FileDelete).
Arkivuar: statusi, nëse teksti nga clipboard është ruajtur në drejtorinë e arkivit Sysmon.

Dy fushat e fundit janë alarmante. Fakti është se që nga versioni 11 Sysmon mund (me cilësimet e duhura) të ruajë të dhëna të ndryshme në drejtorinë e tij të arkivit. Për shembull, Event ID 23 regjistron ngjarjet e fshirjes së skedarëve dhe mund t'i ruajë të gjitha në të njëjtën drejtori arkivi. Etiketa CLIP i shtohet emrit të skedarëve të krijuar si rezultat i punës me clipboard. Vetë skedarët përmbajnë të dhënat e sakta që u kopjuan në clipboard.

KĂ«shtu duket skedari i ruajtur
Sysmon tani mund të shkruajë përmbajtjen e clipboard

Ruajtja në një skedar aktivizohet gjatë instalimit. Mund të vendosni lista të bardha të proceseve për të cilat teksti nuk do të ruhet.

Kështu duket instalimi i Sysmon me cilësimet e duhura të drejtorisë së arkivit:
Sysmon tani mund të shkruajë përmbajtjen e clipboard

Këtu, mendoj, ia vlen të kujtojmë menaxherët e fjalëkalimeve që përdorin gjithashtu klipin. Duke pasur Sysmon në një sistem me një menaxher fjalëkalimesh do t'ju lejojë (ose një sulmuesi) t'i kapni ato fjalëkalime. Duke supozuar se ju e dini se cili proces po shpërndan tekstin e kopjuar (dhe ky nuk është gjithmonë procesi i menaxherit të fjalëkalimeve, por ndoshta disa svchost), ky përjashtim mund të shtohet në listën e bardhë dhe të mos ruhet.

Mund të mos e dini, por teksti nga clipboard kapet nga serveri në distancë kur kaloni në të në modalitetin e sesionit RDP. Nëse keni diçka në kujtesën tuaj dhe kaloni midis sesioneve RDP, ai informacion do të udhëtojë me ju.

Le të përmbledhim aftësitë e Sysmon për të punuar me clipboard.

Rregulluar:

  • Kopje me tekst tĂ« tekstit tĂ« ngjitur nĂ«pĂ«rmjet RDP dhe nĂ« nivel lokal;
  • Kapni tĂ« dhĂ«na nga clipboard nga shĂ«rbime/procese tĂ« ndryshme;
  • Kopjo/ngjit tekstin nga/nĂ« makinĂ«n virtuale lokale, edhe nĂ«se ky tekst nuk Ă«shtĂ« ngjitur ende.

Nuk është regjistruar:

  • Kopjimi/ngjitja e skedarĂ«ve nga/nĂ« njĂ« makinĂ« virtuale lokale;
  • Kopjoni/ngjisni skedarĂ«t pĂ«rmes RDP
  • NjĂ« program keqdashĂ«s qĂ« rrĂ«mben kujtesĂ«n tuaj tĂ« fragmenteve shkruan vetĂ«m nĂ« vetĂ« kujtesĂ«n.

Pavarësisht paqartësisë së tij, kjo lloj ngjarjeje do t'ju lejojë të rivendosni algoritmin e veprimeve të sulmuesit dhe të ndihmoni në identifikimin e të dhënave të paarritshme më parë për formimin e vdekjeve pas sulmeve. Nëse shkrimi i përmbajtjes në kujtesën e fragmenteve është ende i aktivizuar, është e rëndësishme të regjistroni çdo akses në drejtorinë e arkivit dhe të identifikoni ato potencialisht të rrezikshme (të pa iniciuara nga sysmon.exe).

Për të regjistruar, analizuar dhe reaguar ndaj ngjarjeve të listuara më sipër, mund të përdorni mjetin InTrust, i cili kombinon të tre qasjet dhe, përveç kësaj, është një depo efektive e centralizuar e të gjitha të dhënave të mbledhura të papërpunuara. Ne mund ta konfigurojmë integrimin e tij me sistemet e njohura SIEM për të minimizuar koston e licencimit të tyre duke transferuar përpunimin dhe ruajtjen e të dhënave të papërpunuara në InTrust.

Për të mësuar më shumë rreth InTrust, lexoni artikujt tanë të mëparshëm ose lini një kërkesë në formularin e komenteve.

Si të ulni koston e pronësisë së një sistemi SIEM dhe pse keni nevojë për Menaxhimin e Regjistrimit Qendror (CLM)

Ne mundësojmë mbledhjen e ngjarjeve në lidhje me nisjen e proceseve të dyshimta në Windows dhe identifikoni kërcënimet duke përdorur Quest InTrust

Si mund të ndihmojë InTrust në uljen e shkallës së përpjekjeve të dështuara të autorizimit nëpërmjet RDP

Ne zbulojmë një sulm ransomware, fitojmë akses në kontrolluesin e domenit dhe përpiqemi t'u rezistojmë këtyre sulmeve

ÇfarĂ« informacioni tĂ« dobishĂ«m mund tĂ« nxirret nga regjistrat e njĂ« stacioni pune tĂ« bazuar nĂ« sistem operativ? Windows (artikull i njohur)

Kush e bëri atë? Ne automatizojmë kontrollet e sigurisë së informacionit

Burimi: www.habr.com

Bleni njĂ« host tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, serverĂ« VPS VDS đŸ”„ Bleni hosting tĂ« besueshĂ«m tĂ« faqeve tĂ« internetit me mbrojtje DDoS, servera VPS VDS | ProHoster