Pelepasan versi 12 Sysmon diumumkeun dina 17. September di . Nyatana, vérsi anyar Prosés Monitor sareng ProcDump ogé dileupaskeun dina dinten ieu. Dina tulisan ieu kuring bakal ngobrol ngeunaan konci sareng inovasi kontroversial tina vérsi 12 Sysmon - jinis kajadian anu nganggo ID Acara 24, anu dianggo sareng clipboard dilebetkeun.
Inpormasi tina jinis acara ieu muka kasempetan anyar pikeun ngawas kagiatan anu curiga (sareng kerentanan anyar). Janten, anjeun tiasa ngartos saha, dimana sareng naon anu aranjeunna nyobian nyalin. Di handap potongan aya pedaran sababaraha widang acara anyar jeung sababaraha kasus pamakéan.
Acara anyar ngandung widang di handap ieu:
gambar: prosés ti mana data ditulis kana clipboard.
sidang: sési dimana clipboard ditulis. Éta tiasa janten sistem (0)
nalika damel online atanapi jarak jauh, jsb.
ClientInfo: ngandung ngaran pamaké sési jeung, dina kasus sési jauh, nu hostname aslina tur alamat IP, lamun sadia.
Hashes: Nangtukeun nami file dimana téks anu disalin disimpen (sarupa sareng damel sareng acara jinis FileDelete).
Diarsipkeun: status, naha téks ti clipboard disimpen dina diréktori arsip Sysmon.
Panungtungan sawah anu pikahariwangeun. Kanyataan yén saprak vérsi 11 Sysmon tiasa (kalayan setélan anu cocog) nyimpen rupa-rupa data kana diréktori arsipna. Contona, ID Kajadian 23 ngarékam acara ngahapus file sareng tiasa nyimpen sadayana dina diréktori arsip anu sami. Tag CLIP ditambahkeun kana nami file anu dijieun salaku hasil tina gawé bareng clipboard. File sorangan ngandung data pasti anu disalin kana clipboard.
Ieu mangrupikeun file anu disimpen
Nyimpen kana file diaktipkeun nalika instalasi. Anjeun tiasa nyetél daptar bodas prosés anu téksna moal disimpen.
Ieu mangrupikeun pamasangan Sysmon sareng setélan diréktori arsip anu cocog:
Di dieu, kuring pikir, éta patut nginget manajer sandi anu ogé nganggo clipboard. Ngagaduhan Sysmon dina sistem sareng manajer sandi bakal ngamungkinkeun anjeun (atanapi panyerang) pikeun moto kecap konci éta. Anggap anjeun terang nu prosés allocating téks disalin (jeung ieu teu salawasna prosés manajer sandi, tapi meureun sababaraha svchost), iwal ieu bisa ditambahkeun kana daptar bodas tur teu disimpen.
Anjeun bisa jadi teu nyaho, tapi téks ti clipboard direbut ku server jauh mun anjeun pindah ka dinya dina modeu sési RDP. Upami anjeun gaduh hal dina clipboard anjeun sareng anjeun ngalih antara sesi RDP, inpormasi éta bakal ngarambat sareng anjeun.
Hayu urang nyimpulkeun kamampuan Sysmon pikeun damel sareng clipboard.
Maneuh:
- Salinan téks tina téks anu ditempelkeun via RDP sareng lokal;
- Nangkep data tina clipboard ku sababaraha utilitas / prosés;
- Salin/témpél téks ti/ka mesin virtual lokal, sanajan téks ieu teu acan ditempelkeun.
Teu kacatet:
- Nyalin / nempelkeun file tina / ka mesin virtual lokal;
- Salin / témpél file via RDP
- Malware anu ngabajak clipboard anjeun ngan ukur nyerat kana clipboard sorangan.
Sanajan ambiguitasna, jenis acara ieu bakal ngidinan Anjeun pikeun mulangkeun algoritma lampah panyerang sarta mantuan ngaidentipikasi data saméméhna inaccessible pikeun formasi post-mortem sanggeus serangan. Upami nyerat eusi kana clipboard masih diaktipkeun, penting pikeun ngarékam unggal aksés kana diréktori arsip sareng ngaidentipikasi anu berpotensi bahaya (henteu diprakarsai ku sysmon.exe).
Pikeun ngarékam, nganalisis sareng ngaréspon kana kajadian anu didaptarkeun di luhur, anjeun tiasa nganggo alat éta , nu ngagabungkeun sakabeh tilu pendekatan jeung, sajaba, mangrupa gudang terpusat éféktif sadaya data atah dikumpulkeun. Urang tiasa ngonpigurasikeun integrasina sareng sistem SIEM populér pikeun ngaminimalkeun biaya lisénsina ku cara nransferkeun ngolah sareng neundeun data atah ka InTrust.
Pikeun leuwih jéntré ngeunaan InTrust, baca artikel kami saméméhna atawa .
(artikel populér)
sumber: www.habr.com