Ang paglabas ng bersyon 12 ng Sysmon ay inihayag noong Setyembre 17 sa . Sa katunayan, ang mga bagong bersyon ng Process Monitor at ProcDump ay inilabas din sa araw na ito. Sa artikulong ito ay magsasalita ako tungkol sa susi at kontrobersyal na pagbabago ng bersyon 12 ng Sysmon - ang uri ng mga kaganapan na may Event ID 24, kung saan naka-log ang trabaho sa clipboard.
Ang impormasyon mula sa ganitong uri ng kaganapan ay nagbubukas ng mga bagong pagkakataon upang subaybayan ang kahina-hinalang aktibidad (pati na rin ang mga bagong kahinaan). Kaya, mauunawaan mo kung sino, saan at ano ang eksaktong sinubukan nilang kopyahin. Sa ibaba ng cut ay isang paglalarawan ng ilang mga field ng bagong kaganapan at ilang mga kaso ng paggamit.
Ang bagong kaganapan ay naglalaman ng mga sumusunod na field:
Imahe: ang proseso kung saan isinulat ang data sa clipboard.
Session: ang sesyon kung saan isinulat ang clipboard. Maaaring ito ay sistema(0)
kapag nagtatrabaho online o malayuan, atbp.
ClientInfo: naglalaman ng username ng session at, sa kaso ng isang malayong session, ang orihinal na hostname at IP address, kung magagamit.
Hashes: tinutukoy ang pangalan ng file kung saan nai-save ang kinopyang teksto (katulad ng pagtatrabaho sa mga kaganapan ng uri ng FileDelete).
Naka-archive: status, kung ang teksto mula sa clipboard ay na-save sa Sysmon archive directory.
Nakakaalarma ang huling dalawang field. Ang katotohanan ay dahil ang bersyon 11 Sysmon ay maaaring (na may naaangkop na mga setting) i-save ang iba't ibang data sa archive directory nito. Halimbawa, ang Event ID 23 ay nag-log ng mga kaganapan sa pagtanggal ng file at maaaring i-save ang lahat ng ito sa parehong direktoryo ng archive. Ang CLIP tag ay idinagdag sa pangalan ng mga file na ginawa bilang resulta ng pagtatrabaho sa clipboard. Ang mga file mismo ay naglalaman ng eksaktong data na kinopya sa clipboard.
Ito ang hitsura ng naka-save na file
Ang pag-save sa isang file ay pinagana sa panahon ng pag-install. Maaari kang magtakda ng mga puting listahan ng mga proseso kung saan hindi mase-save ang teksto.
Ito ang hitsura ng pag-install ng Sysmon sa naaangkop na mga setting ng direktoryo ng archive:
Dito, sa palagay ko, sulit na alalahanin ang mga tagapamahala ng password na gumagamit din ng clipboard. Ang pagkakaroon ng Sysmon sa isang system na may tagapamahala ng password ay magbibigay-daan sa iyo (o isang umaatake) na makuha ang mga password na iyon. Ipagpalagay na alam mo kung aling proseso ang naglalaan ng kinopyang teksto (at ito ay hindi palaging ang proseso ng tagapamahala ng password, ngunit maaaring ilang svchost), ang pagbubukod na ito ay maaaring idagdag sa puting listahan at hindi i-save.
Maaaring hindi mo alam, ngunit ang teksto mula sa clipboard ay nakukuha ng remote server kapag lumipat ka dito sa RDP session mode. Kung mayroon kang isang bagay sa iyong clipboard at lumipat ka sa pagitan ng mga session ng RDP, ang impormasyong iyon ay maglalakbay kasama mo.
Ibuod natin ang mga kakayahan ni Sysmon para sa pagtatrabaho sa clipboard.
Nakapirming:
- Kopya ng teksto ng na-paste na teksto sa pamamagitan ng RDP at lokal;
- Kumuha ng data mula sa clipboard sa pamamagitan ng iba't ibang mga utility/proseso;
- Kopyahin/i-paste ang teksto mula/sa lokal na virtual machine, kahit na hindi pa nai-paste ang tekstong ito.
Hindi naitala:
- Pagkopya/pag-paste ng mga file mula/sa isang lokal na virtual machine;
- Kopyahin/i-paste ang mga file sa pamamagitan ng RDP
- Ang isang malware na nang-hijack sa iyong clipboard ay nagsusulat lamang sa mismong clipboard.
Sa kabila ng kalabuan nito, ang ganitong uri ng kaganapan ay magbibigay-daan sa iyong ibalik ang algorithm ng mga aksyon ng umaatake at tumulong na matukoy ang dati nang hindi naa-access na data para sa pagbuo ng mga post-mortem pagkatapos ng mga pag-atake. Kung ang pagsusulat ng nilalaman sa clipboard ay pinagana pa rin, mahalagang itala ang bawat pag-access sa direktoryo ng archive at tukuyin ang mga potensyal na mapanganib (hindi pinasimulan ng sysmon.exe).
Upang i-record, pag-aralan at tumugon sa mga kaganapang nakalista sa itaas, maaari mong gamitin ang tool , na pinagsasama ang lahat ng tatlong diskarte at, bilang karagdagan, ay isang epektibong sentralisadong imbakan ng lahat ng nakolektang hilaw na data. Maaari naming i-configure ang pagsasama nito sa mga sikat na sistema ng SIEM upang mabawasan ang gastos ng kanilang paglilisensya sa pamamagitan ng paglilipat ng pagproseso at pag-iimbak ng raw data sa InTrust.
Upang matuto nang higit pa tungkol sa InTrust, basahin ang aming mga nakaraang artikulo o .
(tanyag na artikulo)
Pinagmulan: www.habr.com