Ho lokolloa ha mofuta oa 12 oa Sysmon ho phatlalalitsoe ka la 17 Loetse ho
Lintlha tse tsoang ho mofuta ona oa ketsahalo li bula menyetla e mecha ea ho beha leihlo liketso tse belaetsang (hammoho le bofokoli bo bocha). Kahoo, u ka utloisisa hore na ke mang, hokae le hore na hantle-ntle ba lekile ho kopitsa eng. Ka tlase ho sehiloeng ke tlhaloso ea likarolo tse ling tsa ketsahalo e ncha le linyeoe tse 'maloa tsa tšebeliso.
Ketsahalo e ncha e na le likarolo tse latelang:
setšoantšo: mokhoa oo data e ngoliloeng ho tloha ho clipboard.
Session: nako eo ho neng ho ngotswe letlapa la dikotwana. E ka ba sistimi (0)
ha o sebetsa inthaneteng kapa o le hole, jj.
ClientInfo: e na le lebitso la mosebelisi la seshene, 'me ha e le karolo e hole, lebitso la moamoheli oa mantlha le aterese ea IP, haeba e le teng.
Li-Hashes: e khetha lebitso la faele eo mongolo o kopilitsoeng o bolokiloeng ho eona (e ts'oanang le ho sebetsa le liketsahalo tsa mofuta oa FileDelete).
E bolokiloe: boemo, hore na mongolo o tsoang letlapeng la ho pata o bolokiloe bukeng ea polokelo ea Sysmon.
Mabala a mabeli a ho qetela a tšosa. 'Nete ke hore kaha mofuta oa 11 Sysmon o ka (ka litlhophiso tse nepahetseng) boloka data e fapaneng bukeng ea eona ea polokelo. Mohlala, Ketsahalo ea ID 23 e boloka liketsahalo tsa ho hlakola lifaele mme e ka li boloka kaofela bukeng e tšoanang ea polokelo. Letlapa la CLIP le eketsoa lebitsong la lifaele tse entsoeng ka lebaka la ho sebetsa le clipboard. Lifaele ka botsona li na le data e nepahetseng e kopilitsoeng ho clipboard.
Sena ke kamoo faele e bolokiloeng e shebahalang kateng
Ho boloka faeleng ho lumelletsoe nakong ea ho instola. U ka seta manane a masoeu a lits'ebetso tseo mongolo o ke keng oa bolokoa bakeng sa tsona.
Sena ke seo ts'ebetso ea Sysmon e shebahalang ka eona ka litlhophiso tse nepahetseng tsa li-archive directory:
Mona, ke nahana, ho bohlokoa ho hopola batsamaisi ba li-password le bona ba sebelisang clipboard. Ho ba le Sysmon ho sistimi e nang le molaoli oa password ho tla u lumella (kapa mohlaseli) ho hapa li-password tseo. Ho nka hore ua tseba hore na ke ts'ebetso efe e fanang ka mongolo o kopilitsoeng ('me sena ha se kamehla ts'ebetso ea molaoli oa password, empa mohlomong svchost e itseng), mokhelo ona o ka eketsoa lethathamong le lesoeu mme oa se bolokehe.
Mohlomong ha u tsebe, empa mongolo o tsoang ho clipboard o hapiloe ke seva e hole ha u fetohela ho eona ka mokhoa oa seboka sa RDP. Haeba ho na le ho hong ho clipboard ea hau 'me u fapanyetsana lipakeng tsa linako tsa RDP, tlhahisoleseling eo e tla tsamaea le uena.
Ha re akaretseng bokhoni ba Sysmon ba ho sebetsa le clipboard.
E tsitsitse:
- Ngolla mongolo oa mongolo o pentiloeng ka RDP le sebakeng sa heno;
- Nka data ho clipboard ka lits'ebeletso / lits'ebetso tse fapaneng;
- Kopitsa/peista mongolo ho tloha/ho ea mochining oa hau oa lehae, leha sengoloa sena ha se so manehe.
Ha ea tlalehoa:
- Ho kopitsa / ho beha lifaele ho tloha ho / ho mochine oa sebele oa sebakeng seo;
- Kopitsa / beha lifaele ka RDP
- Malware e utsoang clipboard ea hau e ngolla feela clipboard ka boeona.
Ho sa tsotellehe ho hlaka ha eona, mofuta ona oa ketsahalo o tla u lumella ho tsosolosa algorithm ea liketso tsa mohlaseli le ho thusa ho tseba lintlha tse neng li sa fumanehe pele bakeng sa ho thehoa ha li-post-mortem ka mor'a litlhaselo. Haeba ho ngola litaba ho clipboard ho ntse ho lumelletsoe, ho bohlokoa ho hatisa phihlello e ngoe le e ngoe bukeng ea polokelo le ho tseba tse ka bang kotsi (tse sa qalisoa ke sysmon.exe).
Ho ngola, ho sekaseka le ho arabela liketsahalong tse thathamisitsoeng ka holimo, u ka sebelisa sesebelisoa
Ho ithuta haholoanyane ka InTrust, bala lingoliloeng tsa rona tse fetileng kapa
Source: www.habr.com