Sysmon பதிப்பு 12 இன் வெளியீடு செப்டம்பர் 17 அன்று அறிவிக்கப்பட்டது
இந்த வகையான நிகழ்வின் தகவல் சந்தேகத்திற்குரிய செயல்பாட்டை (அத்துடன் புதிய பாதிப்புகள்) கண்காணிக்க புதிய வாய்ப்புகளைத் திறக்கிறது. எனவே, யார், எங்கு, எதை சரியாக நகலெடுக்க முயன்றார்கள் என்பதை நீங்கள் புரிந்து கொள்ளலாம். வெட்டுக்குக் கீழே புதிய நிகழ்வின் சில புலங்கள் மற்றும் சில பயன்பாட்டு நிகழ்வுகளின் விளக்கம் உள்ளது.
புதிய நிகழ்வில் பின்வரும் புலங்கள் உள்ளன:
படம்: கிளிப்போர்டில் தரவு எழுதப்பட்ட செயல்முறை.
அமர்வு: கிளிப்போர்டு எழுதப்பட்ட அமர்வு. இது அமைப்பு (0) ஆக இருக்கலாம்
ஆன்லைனில் அல்லது தொலைதூரத்தில் பணிபுரியும் போது, முதலியன
வாடிக்கையாளர் தகவல்: அமர்வு பயனர்பெயர் மற்றும் தொலைநிலை அமர்வில், அசல் ஹோஸ்ட்பெயர் மற்றும் IP முகவரி, இருந்தால்.
ஹாஷ்கள்: நகலெடுக்கப்பட்ட உரை சேமிக்கப்பட்ட கோப்பின் பெயரைத் தீர்மானிக்கிறது (FileDelete வகை நிகழ்வுகளுடன் வேலை செய்வது போன்றது).
காப்பகப்படுத்தப்பட்டது: நிலை, கிளிப்போர்டிலிருந்து உரை சிஸ்மோன் காப்பக கோப்பகத்தில் சேமிக்கப்பட்டதா.
கடைசி இரண்டு துறைகள் ஆபத்தானவை. உண்மை என்னவென்றால், பதிப்பு 11 சிஸ்மான் (பொருத்தமான அமைப்புகளுடன்) பல்வேறு தரவை அதன் காப்பக அடைவில் சேமிக்க முடியும். எடுத்துக்காட்டாக, நிகழ்வு ஐடி 23 கோப்பு நீக்குதல் நிகழ்வுகளை பதிவு செய்கிறது மற்றும் அவை அனைத்தையும் ஒரே காப்பக கோப்பகத்தில் சேமிக்க முடியும். கிளிப்போர்டுடன் பணிபுரிந்ததன் விளைவாக உருவாக்கப்பட்ட கோப்புகளின் பெயரில் CLIP குறிச்சொல் சேர்க்கப்படுகிறது. கோப்புகள் கிளிப்போர்டுக்கு நகலெடுக்கப்பட்ட சரியான தரவைக் கொண்டிருக்கின்றன.
சேமித்த கோப்பு இப்படித்தான் இருக்கும்
நிறுவலின் போது ஒரு கோப்பில் சேமிப்பது இயக்கப்பட்டது. உரைச் சேமிக்கப்படாத செயல்முறைகளின் வெள்ளைப் பட்டியல்களை நீங்கள் அமைக்கலாம்.
பொருத்தமான காப்பக அடைவு அமைப்புகளுடன் Sysmon நிறுவல் இப்படித்தான் இருக்கும்:
இங்கே, கிளிப்போர்டைப் பயன்படுத்தும் கடவுச்சொல் நிர்வாகிகளை நினைவில் கொள்வது மதிப்பு என்று நான் நினைக்கிறேன். கடவுச்சொல் நிர்வாகியுடன் கூடிய கணினியில் சிஸ்மோனை வைத்திருப்பது, அந்தக் கடவுச்சொற்களைப் பிடிக்க உங்களை (அல்லது தாக்குபவர்) அனுமதிக்கும். எந்த செயல்முறை நகலெடுக்கப்பட்ட உரையை ஒதுக்குகிறது என்பது உங்களுக்குத் தெரியும் (இது எப்போதும் கடவுச்சொல் நிர்வாகி செயல்முறை அல்ல, ஆனால் சில svchost), இந்த விதிவிலக்கு வெள்ளை பட்டியலில் சேர்க்கப்படலாம் மற்றும் சேமிக்கப்படாது.
உங்களுக்குத் தெரியாமல் இருக்கலாம், ஆனால் நீங்கள் RDP அமர்வு பயன்முறையில் அதை மாற்றும்போது கிளிப்போர்டிலிருந்து உரை ரிமோட் சர்வரால் பிடிக்கப்படும். உங்கள் கிளிப்போர்டில் ஏதேனும் இருந்தால், RDP அமர்வுகளுக்கு இடையில் மாறினால், அந்தத் தகவல் உங்களுடன் பயணிக்கும்.
கிளிப்போர்டுடன் வேலை செய்வதற்கான சிஸ்மோனின் திறன்களை சுருக்கமாகக் கூறுவோம்.
சரி செய்யப்பட்டது:
- RDP மற்றும் உள்நாட்டில் ஒட்டப்பட்ட உரையின் உரை நகல்;
- பல்வேறு பயன்பாடுகள்/செயல்முறைகள் மூலம் கிளிப்போர்டிலிருந்து தரவைப் பிடிக்கவும்;
- இந்த உரை இன்னும் ஒட்டப்படாவிட்டாலும், உள்ளூர் மெய்நிகர் இயந்திரத்திலிருந்து/உருவில் உரையை நகலெடுக்கவும்/ஒட்டவும்.
பதிவு செய்யப்படவில்லை:
- உள்ளூர் மெய்நிகர் இயந்திரத்திலிருந்து கோப்புகளை நகலெடுத்தல்/ஒட்டுதல்;
- RDP வழியாக கோப்புகளை நகலெடுக்கவும்/ஒட்டவும்
- உங்கள் கிளிப்போர்டை அபகரிக்கும் தீம்பொருள் கிளிப்போர்டுக்கு மட்டுமே எழுதும்.
அதன் தெளிவின்மை இருந்தபோதிலும், இந்த வகை நிகழ்வு தாக்குபவர்களின் செயல்களின் வழிமுறையை மீட்டெடுக்க உங்களை அனுமதிக்கும் மற்றும் தாக்குதல்களுக்குப் பிறகு பிரேத பரிசோதனைகளை உருவாக்குவதற்கு முன்னர் அணுக முடியாத தரவை அடையாளம் காண உதவும். கிளிப்போர்டில் உள்ளடக்கத்தை எழுதுவது இன்னும் இயக்கப்பட்டிருந்தால், காப்பக கோப்பகத்திற்கான ஒவ்வொரு அணுகலையும் பதிவுசெய்து, ஆபத்தானவற்றைக் கண்டறிவது முக்கியம் (sysmon.exe ஆல் தொடங்கப்படவில்லை).
மேலே பட்டியலிடப்பட்டுள்ள நிகழ்வுகளை பதிவு செய்யவும், பகுப்பாய்வு செய்யவும் மற்றும் எதிர்வினையாற்றவும், நீங்கள் கருவியைப் பயன்படுத்தலாம்
InTrust பற்றி மேலும் அறிய, எங்கள் முந்தைய கட்டுரைகளைப் படிக்கவும் அல்லது
ஆதாரம்: www.habr.com