புரோஹோஸ்டர் > Блог > நிர்வாகம் > Sysmon இப்போது கிளிப்போர்டு உள்ளடக்கத்தை எழுத முடியும்

Sysmon இப்போது கிளிப்போர்டு உள்ளடக்கத்தை எழுத முடியும்

Sysmon பதிப்பு 12 இன் வெளியீடு செப்டம்பர் 17 அன்று அறிவிக்கப்பட்டது சிசிண்டர்னல்ஸ் பக்கம். உண்மையில், செயல்முறை கண்காணிப்பு மற்றும் ProcDump இன் புதிய பதிப்புகளும் இந்த நாளில் வெளியிடப்பட்டன. இந்த கட்டுரையில் நான் சிஸ்மோனின் பதிப்பு 12 இன் முக்கிய மற்றும் சர்ச்சைக்குரிய கண்டுபிடிப்புகளைப் பற்றி பேசுவேன் - நிகழ்வு ஐடி 24 உடன் நிகழ்வுகளின் வகை, அதில் கிளிப்போர்டுடன் வேலை செய்யப்பட்டுள்ளது.

Sysmon இப்போது கிளிப்போர்டு உள்ளடக்கத்தை எழுத முடியும்

இந்த வகையான நிகழ்வின் தகவல் சந்தேகத்திற்குரிய செயல்பாட்டை (அத்துடன் புதிய பாதிப்புகள்) கண்காணிக்க புதிய வாய்ப்புகளைத் திறக்கிறது. எனவே, யார், எங்கு, எதை சரியாக நகலெடுக்க முயன்றார்கள் என்பதை நீங்கள் புரிந்து கொள்ளலாம். வெட்டுக்குக் கீழே புதிய நிகழ்வின் சில புலங்கள் மற்றும் சில பயன்பாட்டு நிகழ்வுகளின் விளக்கம் உள்ளது.

புதிய நிகழ்வில் பின்வரும் புலங்கள் உள்ளன:

படம்: கிளிப்போர்டில் தரவு எழுதப்பட்ட செயல்முறை.
அமர்வு: கிளிப்போர்டு எழுதப்பட்ட அமர்வு. இது அமைப்பு (0) ஆக இருக்கலாம்
ஆன்லைனில் அல்லது தொலைதூரத்தில் பணிபுரியும் போது, ​​முதலியன
வாடிக்கையாளர் தகவல்: அமர்வு பயனர்பெயர் மற்றும் தொலைநிலை அமர்வில், அசல் ஹோஸ்ட்பெயர் மற்றும் IP முகவரி, இருந்தால்.
ஹாஷ்கள்: நகலெடுக்கப்பட்ட உரை சேமிக்கப்பட்ட கோப்பின் பெயரைத் தீர்மானிக்கிறது (FileDelete வகை நிகழ்வுகளுடன் வேலை செய்வது போன்றது).
காப்பகப்படுத்தப்பட்டது: நிலை, கிளிப்போர்டிலிருந்து உரை சிஸ்மோன் காப்பக கோப்பகத்தில் சேமிக்கப்பட்டதா.

கடைசி இரண்டு துறைகள் ஆபத்தானவை. உண்மை என்னவென்றால், பதிப்பு 11 சிஸ்மான் (பொருத்தமான அமைப்புகளுடன்) பல்வேறு தரவை அதன் காப்பக அடைவில் சேமிக்க முடியும். எடுத்துக்காட்டாக, நிகழ்வு ஐடி 23 கோப்பு நீக்குதல் நிகழ்வுகளை பதிவு செய்கிறது மற்றும் அவை அனைத்தையும் ஒரே காப்பக கோப்பகத்தில் சேமிக்க முடியும். கிளிப்போர்டுடன் பணிபுரிந்ததன் விளைவாக உருவாக்கப்பட்ட கோப்புகளின் பெயரில் CLIP குறிச்சொல் சேர்க்கப்படுகிறது. கோப்புகள் கிளிப்போர்டுக்கு நகலெடுக்கப்பட்ட சரியான தரவைக் கொண்டிருக்கின்றன.

சேமித்த கோப்பு இப்படித்தான் இருக்கும்
Sysmon இப்போது கிளிப்போர்டு உள்ளடக்கத்தை எழுத முடியும்

நிறுவலின் போது ஒரு கோப்பில் சேமிப்பது இயக்கப்பட்டது. உரைச் சேமிக்கப்படாத செயல்முறைகளின் வெள்ளைப் பட்டியல்களை நீங்கள் அமைக்கலாம்.

பொருத்தமான காப்பக அடைவு அமைப்புகளுடன் Sysmon நிறுவல் இப்படித்தான் இருக்கும்:
Sysmon இப்போது கிளிப்போர்டு உள்ளடக்கத்தை எழுத முடியும்

இங்கே, கிளிப்போர்டைப் பயன்படுத்தும் கடவுச்சொல் நிர்வாகிகளை நினைவில் கொள்வது மதிப்பு என்று நான் நினைக்கிறேன். கடவுச்சொல் நிர்வாகியுடன் கூடிய கணினியில் சிஸ்மோனை வைத்திருப்பது, அந்தக் கடவுச்சொற்களைப் பிடிக்க உங்களை (அல்லது தாக்குபவர்) அனுமதிக்கும். எந்த செயல்முறை நகலெடுக்கப்பட்ட உரையை ஒதுக்குகிறது என்பது உங்களுக்குத் தெரியும் (இது எப்போதும் கடவுச்சொல் நிர்வாகி செயல்முறை அல்ல, ஆனால் சில svchost), இந்த விதிவிலக்கு வெள்ளை பட்டியலில் சேர்க்கப்படலாம் மற்றும் சேமிக்கப்படாது.

உங்களுக்குத் தெரியாமல் இருக்கலாம், ஆனால் நீங்கள் RDP அமர்வு பயன்முறையில் அதை மாற்றும்போது கிளிப்போர்டிலிருந்து உரை ரிமோட் சர்வரால் பிடிக்கப்படும். உங்கள் கிளிப்போர்டில் ஏதேனும் இருந்தால், RDP அமர்வுகளுக்கு இடையில் மாறினால், அந்தத் தகவல் உங்களுடன் பயணிக்கும்.

கிளிப்போர்டுடன் வேலை செய்வதற்கான சிஸ்மோனின் திறன்களை சுருக்கமாகக் கூறுவோம்.

சரி செய்யப்பட்டது:

  • RDP மற்றும் உள்நாட்டில் ஒட்டப்பட்ட உரையின் உரை நகல்;
  • பல்வேறு பயன்பாடுகள்/செயல்முறைகள் மூலம் கிளிப்போர்டிலிருந்து தரவைப் பிடிக்கவும்;
  • இந்த உரை இன்னும் ஒட்டப்படாவிட்டாலும், உள்ளூர் மெய்நிகர் இயந்திரத்திலிருந்து/உருவில் உரையை நகலெடுக்கவும்/ஒட்டவும்.

பதிவு செய்யப்படவில்லை:

  • உள்ளூர் மெய்நிகர் இயந்திரத்திலிருந்து கோப்புகளை நகலெடுத்தல்/ஒட்டுதல்;
  • RDP வழியாக கோப்புகளை நகலெடுக்கவும்/ஒட்டவும்
  • உங்கள் கிளிப்போர்டை அபகரிக்கும் தீம்பொருள் கிளிப்போர்டுக்கு மட்டுமே எழுதும்.

அதன் தெளிவின்மை இருந்தபோதிலும், இந்த வகை நிகழ்வு தாக்குபவர்களின் செயல்களின் வழிமுறையை மீட்டெடுக்க உங்களை அனுமதிக்கும் மற்றும் தாக்குதல்களுக்குப் பிறகு பிரேத பரிசோதனைகளை உருவாக்குவதற்கு முன்னர் அணுக முடியாத தரவை அடையாளம் காண உதவும். கிளிப்போர்டில் உள்ளடக்கத்தை எழுதுவது இன்னும் இயக்கப்பட்டிருந்தால், காப்பக கோப்பகத்திற்கான ஒவ்வொரு அணுகலையும் பதிவுசெய்து, ஆபத்தானவற்றைக் கண்டறிவது முக்கியம் (sysmon.exe ஆல் தொடங்கப்படவில்லை).

மேலே பட்டியலிடப்பட்டுள்ள நிகழ்வுகளை பதிவு செய்யவும், பகுப்பாய்வு செய்யவும் மற்றும் எதிர்வினையாற்றவும், நீங்கள் கருவியைப் பயன்படுத்தலாம் நம்பிக்கையில், இது மூன்று அணுகுமுறைகளையும் ஒருங்கிணைக்கிறது மற்றும் கூடுதலாக, சேகரிக்கப்பட்ட அனைத்து மூல தரவுகளின் பயனுள்ள மையப்படுத்தப்பட்ட களஞ்சியமாகும். InTrust க்கு மூல தரவின் செயலாக்கம் மற்றும் சேமிப்பகத்தை மாற்றுவதன் மூலம், பிரபலமான SIEM அமைப்புகளுடன் அதன் ஒருங்கிணைப்பை அவற்றின் உரிமத்தின் விலையைக் குறைக்க நாம் கட்டமைக்க முடியும்.

InTrust பற்றி மேலும் அறிய, எங்கள் முந்தைய கட்டுரைகளைப் படிக்கவும் அல்லது கருத்து படிவத்தில் ஒரு கோரிக்கையை விடுங்கள்.

SIEM அமைப்பின் உரிமையின் விலையை எவ்வாறு குறைப்பது மற்றும் உங்களுக்கு ஏன் மத்திய பதிவு மேலாண்மை (CLM) தேவை

விண்டோஸில் சந்தேகத்திற்கிடமான செயல்முறைகளைத் தொடங்குவது பற்றிய நிகழ்வுகளின் சேகரிப்பை நாங்கள் இயக்குகிறோம் மற்றும் Quest InTrust ஐப் பயன்படுத்தி அச்சுறுத்தல்களை அடையாளம் காண்கிறோம்.

RDP மூலம் தோல்வியுற்ற அங்கீகார முயற்சிகளின் வீதத்தைக் குறைக்க InTrust எவ்வாறு உதவும்

ransomware தாக்குதலைக் கண்டறிந்து, டொமைன் கன்ட்ரோலருக்கான அணுகலைப் பெற்று, இந்தத் தாக்குதல்களை எதிர்க்க முயற்சிக்கிறோம்

விண்டோஸ் ஓஎஸ் அடிப்படையிலான பணிநிலையத்தின் பதிவுகளிலிருந்து என்ன பயனுள்ளதாக இருக்கும் (பிரபலமான கட்டுரை)

மற்றும் யார் அதை செய்தது? தகவல் பாதுகாப்பு தணிக்கையை நாங்கள் தானியங்குபடுத்துகிறோம்

ஆதாரம்: www.habr.com

கருத்தைச் சேர்