ProHoster > Blog > Tsamaiso > Hona joale Sysmon e khona ho ngola litaba tsa clipboard

Hona joale Sysmon e khona ho ngola litaba tsa clipboard

Ho lokolloa ha mofuta oa 12 oa Sysmon ho phatlalalitsoe ka la 17 Loetse ho Leqephe la Sysinternals. Ebile, mefuta e mecha ea Process Monitor le ProcDump le eona e ile ea lokolloa letsatsing lena. Sehloohong sena ke tla bua ka boqapi ba bohlokoa le bo tsosang khang ba mofuta oa 12 oa Sysmon - mofuta oa liketsahalo tse nang le Ketsahalo ea ID 24, eo ho eona ho kenngoeng mosebetsi le clipboard.

Hona joale Sysmon e khona ho ngola litaba tsa clipboard

Lintlha tse tsoang ho mofuta ona oa ketsahalo li bula menyetla e mecha ea ho beha leihlo liketso tse belaetsang (hammoho le bofokoli bo bocha). Kahoo, u ka utloisisa hore na ke mang, hokae le hore na hantle-ntle ba lekile ho kopitsa eng. Ka tlase ho sehiloeng ke tlhaloso ea likarolo tse ling tsa ketsahalo e ncha le linyeoe tse 'maloa tsa tšebeliso.

Ketsahalo e ncha e na le likarolo tse latelang:

setšoantšo: mokhoa oo data e ngoliloeng ho tloha ho clipboard.
Session: nako eo ho neng ho ngotswe letlapa la dikotwana. E ka ba sistimi (0)
ha o sebetsa inthaneteng kapa o le hole, jj.
ClientInfo: e na le lebitso la mosebelisi la seshene, 'me ha e le karolo e hole, lebitso la moamoheli oa mantlha le aterese ea IP, haeba e le teng.
Li-Hashes: e khetha lebitso la faele eo mongolo o kopilitsoeng o bolokiloeng ho eona (e ts'oanang le ho sebetsa le liketsahalo tsa mofuta oa FileDelete).
E bolokiloe: boemo, hore na mongolo o tsoang letlapeng la ho pata o bolokiloe bukeng ea polokelo ea Sysmon.

Mabala a mabeli a ho qetela a tšosa. 'Nete ke hore kaha mofuta oa 11 Sysmon o ka (ka litlhophiso tse nepahetseng) boloka data e fapaneng bukeng ea eona ea polokelo. Mohlala, Ketsahalo ea ID 23 e boloka liketsahalo tsa ho hlakola lifaele mme e ka li boloka kaofela bukeng e tšoanang ea polokelo. Letlapa la CLIP le eketsoa lebitsong la lifaele tse entsoeng ka lebaka la ho sebetsa le clipboard. Lifaele ka botsona li na le data e nepahetseng e kopilitsoeng ho clipboard.

Sena ke kamoo faele e bolokiloeng e shebahalang kateng
Hona joale Sysmon e khona ho ngola litaba tsa clipboard

Ho boloka faeleng ho lumelletsoe nakong ea ho instola. U ka seta manane a masoeu a lits'ebetso tseo mongolo o ke keng oa bolokoa bakeng sa tsona.

Sena ke seo ts'ebetso ea Sysmon e shebahalang ka eona ka litlhophiso tse nepahetseng tsa li-archive directory:
Hona joale Sysmon e khona ho ngola litaba tsa clipboard

Mona, ke nahana, ho bohlokoa ho hopola batsamaisi ba li-password le bona ba sebelisang clipboard. Ho ba le Sysmon ho sistimi e nang le molaoli oa password ho tla u lumella (kapa mohlaseli) ho hapa li-password tseo. Ho nka hore ua tseba hore na ke ts'ebetso efe e fanang ka mongolo o kopilitsoeng ('me sena ha se kamehla ts'ebetso ea molaoli oa password, empa mohlomong svchost e itseng), mokhelo ona o ka eketsoa lethathamong le lesoeu mme oa se bolokehe.

Mohlomong ha u tsebe, empa mongolo o tsoang ho clipboard o hapiloe ke seva e hole ha u fetohela ho eona ka mokhoa oa seboka sa RDP. Haeba ho na le ho hong ho clipboard ea hau 'me u fapanyetsana lipakeng tsa linako tsa RDP, tlhahisoleseling eo e tla tsamaea le uena.

Ha re akaretseng bokhoni ba Sysmon ba ho sebetsa le clipboard.

E tsitsitse:

  • Ngolla mongolo oa mongolo o pentiloeng ka RDP le sebakeng sa heno;
  • Nka data ho clipboard ka lits'ebeletso / lits'ebetso tse fapaneng;
  • Kopitsa/peista mongolo ho tloha/ho ea mochining oa hau oa lehae, leha sengoloa sena ha se so manehe.

Ha ea tlalehoa:

  • Ho kopitsa / ho beha lifaele ho tloha ho / ho mochine oa sebele oa sebakeng seo;
  • Kopitsa / beha lifaele ka RDP
  • Malware e utsoang clipboard ea hau e ngolla feela clipboard ka boeona.

Ho sa tsotellehe ho hlaka ha eona, mofuta ona oa ketsahalo o tla u lumella ho tsosolosa algorithm ea liketso tsa mohlaseli le ho thusa ho tseba lintlha tse neng li sa fumanehe pele bakeng sa ho thehoa ha li-post-mortem ka mor'a litlhaselo. Haeba ho ngola litaba ho clipboard ho ntse ho lumelletsoe, ho bohlokoa ho hatisa phihlello e ngoe le e ngoe bukeng ea polokelo le ho tseba tse ka bang kotsi (tse sa qalisoa ke sysmon.exe).

Ho ngola, ho sekaseka le ho arabela liketsahalong tse thathamisitsoeng ka holimo, u ka sebelisa sesebelisoa Tšepa, e kopanyang mekhoa eohle e meraro 'me, ho phaella moo, ke polokelo e sebetsang e bohareng ea data eohle e bokelitsoeng e tala. Re ka hlophisa kopanyo ea eona le lits'ebetso tse tsebahalang tsa SIEM ho fokotsa litšenyehelo tsa laesense ea bona ka ho fetisetsa ts'ebetso le polokelo ea data e tala ho InTrust.

Ho ithuta haholoanyane ka InTrust, bala lingoliloeng tsa rona tse fetileng kapa tlohela kopo ka foromo ea maikutlo.

Mokhoa oa ho fokotsa litšenyehelo tsa ho ba beng ba sistimi ea SIEM le hore na hobaneng o hloka Central Log Management (CLM)

Re thusa pokello ea liketsahalo tse mabapi le ho qala lits'ebetso tse belaetsang ho Windows le ho tseba litšokelo re sebelisa Quest InTrust

Kamoo InTrust e ka thusang ho fokotsa sekhahla sa liteko tse hlolehileng tsa tumello ka RDP

Re bona tlhaselo ea ransomware, re fumana monyetla oa ho kena ho domain controller mme re leka ho hanela litlhaselo tsena

Ke lintho life tse molemo tse ka ntšoang ho li-log tsa setsi sa mosebetsi se thehiloeng ho Windows? (sengoloa se tsebahalang)

Ke mang ea e entseng? Re etsa tlhahlobo ea ts'ireletso ea tlhahisoleseling

Source: www.habr.com

Eketsa ka tlhaloso