Про реліз 12 версії Sysmon повідомили 17 вересня . Насправді цього дня вийшли також нові версії Process Monitor та ProcDump. У цій статті я розповім про ключове і неоднозначне нововведення 12 версії Sysmon - тип подій з Event ID 24, в який логується робота з буфером обміну.
Інформація з цього типу подій відкриває нові можливості контролю за підозрілою активністю (а також нові вразливості). Так, ви зможете розуміти, хто, звідки і що саме намагалися скопіювати. Під катом опис деяких полів нової події та парочка юзкейсів.
Нова подія містить такі поля:
Зображення: процес, дані з яких були записані в буфер обміну.
Сесія: сеанс, у якому виконався запис у буфер обміну. Це може бути system(0)
під час роботи в інтерактивному чи віддаленому режимі тощо.
ClientInfo: містить ім'я користувача сеансу, а у разі віддаленого сеансу — вихідне ім'я хоста та IP-адреса, якщо ці дані доступні.
хеші: визначає ім'я файлу, у якому збережено скопійований текст (аналогічно роботі з подіями типу FileDelete).
Архів: статус, чи був збережений текст із буфера обміну в архівній директорії Sysmon.
Пара останніх полів викликають на сполох. Справа в тому, що з версії 11 Sysmon може (при відповідних налаштуваннях) зберігати різні дані до своєї архівної директорії. Наприклад, Event ID 23 логує події з видалення файлів і може їх зберігати все в тій же архівній директорії. До імені файлів, створених у результаті роботи з буфером обміну, додається тег CLIP. Самі файли містять точні дані, скопійовані в буфер обміну.
Так виглядає збережений файл
Збереження файлу вмикається під час встановлення. Можна встановлювати білі списки процесів, за якими текст не зберігатиметься.
Так виглядає установка Sysmon з відповідним налаштуванням архівної директорії:
Тут, я думаю, варто згадати менеджерів паролів, які також використовують буфер обміну. Наявність Sysmon у системі з менеджером паролів дозволить вам (або зловмиснику) захоплювати ці паролі. Якщо припустити, що вам відомо який саме процес алокує скопійований текст (а це не завжди процес менеджера паролів, а може бути якийсь svchost), цей виняток можна додати в білий список і не зберігати.
Можливо, ви не знали, але текст із буфера обміну захоплюється віддаленим сервером при перемиканні на нього в режимі сеансу RDP. Якщо у вас є щось у буфері обміну і ви перемикаєтесь між сеансами RDP, ця інформація буде подорожувати з вами.
Підіб'ємо підсумок можливостей Sysmon по роботі з буфером обміну.
Фіксуються:
- Текстова копія тексту, що вставляється через RDP і локально;
- Захоплення даних із буфера обміну різними утилітами/процесами;
- Копіювання/вставка тексту з/на локальну віртуальну машину, навіть якщо цей текст ще не було вставлено.
Не фіксуються:
- Копіювання/вставка файлів з/на локальну віртуальну машину;
- Копіювання/вставка файлів через RDP
- Шкідлива програма, що захоплює ваш буфер обміну, записує тільки сам буфер обміну.
При всій своїй неоднозначності цей тип подій дозволить відновити алгоритм дій зловмисника і допоможе виявити раніше недоступні дані для формування постмортемів після атак. Якщо запис вмісту в буфер обміну все ж таки включено, важливо фіксувати кожен факт доступу до архівної директорії та виявляти потенційно небезпечні (ініційовані не sysmon.exe).
Для фіксації, аналізу та реакції на перелічені вище події можна використовувати інструмент що поєднує в собі всі три підходи і, до того ж, є ефективним централізованим сховищем усіх зібраних сирих даних. Ми можемо налаштувати його інтеграцію з популярними SIEM-системами для мінімізації витрат на їхнє ліцензійне забезпечення за рахунок перенесення обробки та зберігання сирих даних в InTrust.
Щоб дізнатися більше про InTrust, прочитайте наші попередні статті або .
(популярна стаття)
Джерело: habr.com