سیسمون کے ورژن 12 کی ریلیز کا اعلان 17 ستمبر کو کیا گیا تھا۔ . درحقیقت، اس دن پروسیس مانیٹر اور پروک ڈمپ کے نئے ورژن بھی جاری کیے گئے تھے۔ اس مضمون میں میں Sysmon کے ورژن 12 کی کلیدی اور متنازعہ اختراع کے بارے میں بات کروں گا - ایونٹ ID 24 والے واقعات کی قسم، جس میں کلپ بورڈ کے ساتھ کام لاگ ان ہوتا ہے۔
اس قسم کے ایونٹ سے حاصل ہونے والی معلومات مشتبہ سرگرمی کی نگرانی کے نئے مواقع کھولتی ہے (نیز نئے خطرات)۔ لہذا، آپ سمجھ سکتے ہیں کہ کس نے، کہاں اور کس چیز کی کاپی کرنے کی کوشش کی۔ کٹ کے نیچے نئے ایونٹ کے کچھ فیلڈز اور استعمال کے کچھ کیسز کی تفصیل ہے۔
نئے ایونٹ میں درج ذیل فیلڈز شامل ہیں:
تصویر: وہ عمل جس سے کلپ بورڈ پر ڈیٹا لکھا گیا تھا۔
اجلاس: وہ سیشن جس میں کلپ بورڈ لکھا گیا تھا۔ یہ سسٹم ہو سکتا ہے(0)
آن لائن یا دور سے کام کرتے وقت، وغیرہ
کلائنٹ کی معلومات: سیشن کا صارف نام اور ریموٹ سیشن کی صورت میں، اگر دستیاب ہو تو اصل میزبان نام اور IP ایڈریس پر مشتمل ہے۔
ہیشز: اس فائل کے نام کا تعین کرتا ہے جس میں کاپی شدہ متن محفوظ کیا گیا تھا (فائل ڈیلیٹ قسم کے واقعات کے ساتھ کام کرنے کی طرح)۔
محفوظ شدہ دستاویزات: حیثیت، آیا کلپ بورڈ سے متن کو سیسمون آرکائیو ڈائرکٹری میں محفوظ کیا گیا تھا۔
فیلڈ کے آخری جوڑے خطرناک ہیں۔ حقیقت یہ ہے کہ ورژن 11 کے بعد سے Sysmon (مناسب ترتیبات کے ساتھ) مختلف ڈیٹا کو اپنی آرکائیو ڈائرکٹری میں محفوظ کر سکتا ہے۔ مثال کے طور پر، Event ID 23 فائل ڈیلیٹ کرنے کے واقعات کو لاگ کرتا ہے اور ان سب کو ایک ہی آرکائیو ڈائرکٹری میں محفوظ کر سکتا ہے۔ کلپ بورڈ کے ساتھ کام کرنے کے نتیجے میں بنائی گئی فائلوں کے نام میں CLIP ٹیگ شامل کیا جاتا ہے۔ فائلوں میں خود وہی ڈیٹا ہوتا ہے جسے کلپ بورڈ میں کاپی کیا گیا تھا۔
محفوظ شدہ فائل کی طرح نظر آتی ہے۔
انسٹالیشن کے دوران فائل میں محفوظ کرنا فعال ہے۔ آپ ان عملوں کی سفید فہرستیں ترتیب دے سکتے ہیں جن کے لیے متن محفوظ نہیں کیا جائے گا۔
مناسب آرکائیو ڈائرکٹری سیٹنگز کے ساتھ سیسمون انسٹالیشن کی طرح دکھتا ہے:
یہاں، میرے خیال میں، پاس ورڈ مینیجرز کو یاد رکھنے کے قابل ہے جو کلپ بورڈ بھی استعمال کرتے ہیں۔ پاس ورڈ مینیجر والے سسٹم پر سیسمون کا ہونا آپ (یا حملہ آور) کو ان پاس ورڈز کو حاصل کرنے کی اجازت دے گا۔ یہ فرض کرتے ہوئے کہ آپ جانتے ہیں کہ کون سا عمل نقل شدہ متن کو مختص کر رہا ہے (اور یہ ہمیشہ پاس ورڈ مینیجر کا عمل نہیں ہوتا ہے، لیکن شاید کچھ svchost)، اس استثنا کو سفید فہرست میں شامل کیا جا سکتا ہے اور محفوظ نہیں کیا جا سکتا۔
ہو سکتا ہے آپ کو معلوم نہ ہو، لیکن جب آپ RDP سیشن موڈ میں اس پر سوئچ کرتے ہیں تو کلپ بورڈ کا متن ریموٹ سرور کے ذریعے پکڑا جاتا ہے۔ اگر آپ کے کلپ بورڈ پر کچھ ہے اور آپ RDP سیشنز کے درمیان سوئچ کرتے ہیں، تو وہ معلومات آپ کے ساتھ سفر کرے گی۔
آئیے کلپ بورڈ کے ساتھ کام کرنے کے لیے Sysmon کی صلاحیتوں کا خلاصہ کرتے ہیں۔
طے شدہ:
- آر ڈی پی کے ذریعے اور مقامی طور پر پیسٹ کیے گئے متن کی ٹیکسٹ کاپی؛
- کلپ بورڈ سے مختلف یوٹیلیٹیز/پروسیسز کے ذریعے ڈیٹا حاصل کریں۔
- مقامی ورچوئل مشین سے متن کو کاپی/پیسٹ کریں، چاہے یہ متن ابھی تک پیسٹ نہ کیا گیا ہو۔
ریکارڈ نہیں کیا گیا:
- فائلوں کو مقامی ورچوئل مشین سے کاپی/پیسٹ کرنا؛
- آر ڈی پی کے ذریعے فائلوں کو کاپی/پیسٹ کریں۔
- ایک میلویئر جو آپ کے کلپ بورڈ کو ہائی جیک کرتا ہے صرف کلپ بورڈ کو ہی لکھتا ہے۔
اس کے ابہام کے باوجود، اس قسم کا واقعہ آپ کو حملہ آور کے اعمال کے الگورتھم کو بحال کرنے اور حملوں کے بعد پوسٹ مارٹم کی تشکیل کے لیے پہلے سے ناقابل رسائی ڈیٹا کی شناخت کرنے میں مدد دے گا۔ اگر کلپ بورڈ پر مواد لکھنا اب بھی فعال ہے، تو یہ ضروری ہے کہ آرکائیو ڈائرکٹری تک ہر رسائی کو ریکارڈ کیا جائے اور ممکنہ طور پر خطرناک لوگوں کی شناخت کی جائے (جو sysmon.exe کے ذریعے شروع نہیں کیے گئے ہیں)۔
مندرجہ بالا واقعات کو ریکارڈ کرنے، تجزیہ کرنے اور ان پر ردعمل ظاہر کرنے کے لیے، آپ ٹول استعمال کر سکتے ہیں۔ ، جو تینوں طریقوں کو یکجا کرتا ہے اور اس کے علاوہ، تمام جمع کیے گئے خام ڈیٹا کا ایک مؤثر مرکزی ذخیرہ ہے۔ ہم مقبول SIEM سسٹمز کے ساتھ اس کے انضمام کو ترتیب دے سکتے ہیں تاکہ خام ڈیٹا کی پروسیسنگ اور اسٹوریج کو InTrust میں منتقل کر کے ان کے لائسنسنگ کی لاگت کو کم کیا جا سکے۔
InTrust کے بارے میں مزید جاننے کے لیے، ہمارے پچھلے مضامین پڑھیں یا .
(مقبول مضمون)
ماخذ: www.habr.com
