การเปิดตัว Sysmon เวอร์ชัน 12 ได้รับการประกาศเมื่อวันที่ 17 กันยายนเวลา . ในความเป็นจริง Process Monitor และ ProcDump เวอร์ชันใหม่ก็เปิดตัวในวันนี้เช่นกัน ในบทความนี้ฉันจะพูดถึงนวัตกรรมที่สำคัญและเป็นที่ถกเถียงของ Sysmon เวอร์ชัน 12 ซึ่งเป็นประเภทของเหตุการณ์ที่มี Event ID 24 ซึ่งบันทึกการทำงานกับคลิปบอร์ดไว้
ข้อมูลจากเหตุการณ์ประเภทนี้เปิดโอกาสใหม่ในการตรวจสอบกิจกรรมที่น่าสงสัย (รวมถึงช่องโหว่ใหม่) ดังนั้นคุณจึงสามารถเข้าใจได้ว่าใคร ที่ไหน และอะไรที่พวกเขาพยายามคัดลอก ด้านล่างของการตัดเป็นคำอธิบายของบางฟิลด์ของกิจกรรมใหม่และกรณีการใช้งานสองสามกรณี
เหตุการณ์ใหม่ประกอบด้วยฟิลด์ต่อไปนี้:
ภาพ: กระบวนการที่ข้อมูลถูกเขียนลงในคลิปบอร์ด
เซสชั่น: เซสชันที่เขียนคลิปบอร์ด มันอาจจะเป็นระบบ(0)
เมื่อทำงานออนไลน์หรือระยะไกล ฯลฯ
ข้อมูลลูกค้า: มีชื่อผู้ใช้เซสชัน และในกรณีของเซสชันระยะไกล ชื่อโฮสต์ดั้งเดิมและที่อยู่ IP หากมี
แฮช: กำหนดชื่อของไฟล์ที่บันทึกข้อความที่คัดลอก (คล้ายกับการทำงานกับเหตุการณ์ประเภท FileDelete)
เก็บถาวร: สถานะ ไม่ว่าข้อความจากคลิปบอร์ดจะถูกบันทึกในไดเร็กทอรีไฟล์เก็บถาวร Sysmon หรือไม่
สองสามช่องสุดท้ายน่าตกใจ ความจริงก็คือตั้งแต่เวอร์ชัน 11 Sysmon สามารถ (ด้วยการตั้งค่าที่เหมาะสม) บันทึกข้อมูลต่าง ๆ ลงในไดเร็กทอรีเก็บถาวรได้ ตัวอย่างเช่น Event ID 23 จะบันทึกเหตุการณ์การลบไฟล์และสามารถบันทึกเหตุการณ์ทั้งหมดไว้ในไดเรกทอรีเก็บถาวรเดียวกันได้ แท็ก CLIP จะถูกเพิ่มลงในชื่อไฟล์ที่สร้างขึ้นอันเป็นผลมาจากการทำงานกับคลิปบอร์ด ไฟล์เหล่านี้มีข้อมูลที่แน่นอนซึ่งถูกคัดลอกไปยังคลิปบอร์ด
นี่คือลักษณะของไฟล์ที่บันทึกไว้
การบันทึกลงในไฟล์ถูกเปิดใช้งานระหว่างการติดตั้ง คุณสามารถตั้งค่ารายการสีขาวของกระบวนการที่จะไม่มีการบันทึกข้อความได้
นี่คือลักษณะของการติดตั้ง Sysmon พร้อมกับการตั้งค่าไดเร็กทอรีไฟล์เก็บถาวรที่เหมาะสม:
ฉันคิดว่ามันคุ้มค่าที่จะจดจำผู้จัดการรหัสผ่านที่ใช้คลิปบอร์ดด้วย การมี Sysmon ในระบบที่มีตัวจัดการรหัสผ่านจะทำให้คุณ (หรือผู้โจมตี) สามารถบันทึกรหัสผ่านเหล่านั้นได้ สมมติว่าคุณรู้ว่ากระบวนการใดกำลังจัดสรรข้อความที่คัดลอก (และนี่ไม่ใช่กระบวนการจัดการรหัสผ่านเสมอไป แต่อาจเป็น svchost บางตัว) คุณสามารถเพิ่มข้อยกเว้นนี้ลงในรายการสีขาวและไม่สามารถบันทึกได้
คุณอาจไม่รู้ แต่ข้อความจากคลิปบอร์ดจะถูกบันทึกโดยเซิร์ฟเวอร์ระยะไกลเมื่อคุณสลับไปที่โหมดเซสชัน RDP หากคุณมีบางอย่างบนคลิปบอร์ดและสลับระหว่างเซสชัน RDP ข้อมูลนั้นจะเดินทางไปกับคุณด้วย
มาสรุปความสามารถของ Sysmon ในการทำงานกับคลิปบอร์ดกัน
ที่ตายตัว:
- คัดลอกข้อความของข้อความที่วางผ่าน RDP และในเครื่อง
- เก็บข้อมูลจากคลิปบอร์ดด้วยยูทิลิตี้/กระบวนการต่างๆ
- คัดลอก/วางข้อความจาก/ไปยังเครื่องเสมือนในเครื่อง แม้ว่าข้อความนี้จะยังไม่ได้วางก็ตาม
ไม่ได้บันทึก:
- การคัดลอก/วางไฟล์จาก/ไปยังเครื่องเสมือนในเครื่อง
- คัดลอก/วางไฟล์ผ่าน RDP
- มัลแวร์ที่ขโมยคลิปบอร์ดของคุณเขียนไปที่คลิปบอร์ดเท่านั้น
แม้จะมีความคลุมเครือ แต่เหตุการณ์ประเภทนี้จะช่วยให้คุณสามารถกู้คืนอัลกอริธึมการดำเนินการของผู้โจมตีและช่วยระบุข้อมูลที่ไม่สามารถเข้าถึงได้ก่อนหน้านี้สำหรับการก่อตัวของการชันสูตรหลังการโจมตี หากยังคงเปิดใช้งานการเขียนเนื้อหาลงในคลิปบอร์ด สิ่งสำคัญคือต้องบันทึกทุกการเข้าถึงไดเรกทอรีเก็บถาวร และระบุการเข้าถึงที่อาจเป็นอันตราย (ไม่ได้ริเริ่มโดย sysmon.exe)
หากต้องการบันทึก วิเคราะห์ และตอบสนองต่อเหตุการณ์ที่ระบุไว้ข้างต้น คุณสามารถใช้เครื่องมือนี้ได้ ซึ่งรวมทั้งสามแนวทางเข้าด้วยกัน และยิ่งไปกว่านั้น ยังเป็นที่เก็บข้อมูลดิบที่รวบรวมไว้แบบรวมศูนย์ที่มีประสิทธิภาพอีกด้วย เราสามารถกำหนดค่าการรวมเข้ากับระบบ SIEM ยอดนิยมเพื่อลดต้นทุนการอนุญาตโดยการโอนการประมวลผลและการจัดเก็บข้อมูลดิบไปยัง InTrust
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ InTrust โปรดอ่านบทความก่อนหน้าของเราหรือ .
(บทความยอดนิยม)
ที่มา: will.com