Sysmon-ning 12-versiyasining chiqarilishi 17 sentyabr kuni e'lon qilindi
Ushbu turdagi hodisalardan olingan ma'lumotlar shubhali faoliyatni (shuningdek, yangi zaifliklarni) kuzatish uchun yangi imkoniyatlar ochadi. Shunday qilib, kim, qayerda va aynan nimani nusxalashga harakat qilganini tushunishingiz mumkin. Kesim ostida yangi hodisaning ayrim sohalari va bir nechta foydalanish holatlari tavsifi berilgan.
Yangi hodisa quyidagi maydonlarni o'z ichiga oladi:
Tasvir: ma'lumotlarni almashish buferiga yozish jarayoni.
Kirish: clipboard yozilgan sessiya. Bu tizim bo'lishi mumkin (0)
onlayn yoki masofadan ishlaganda va hokazo.
ClientInfo: seans foydalanuvchi nomini va masofaviy seans bo'lsa, asl xost nomini va agar mavjud bo'lsa, IP manzilini o'z ichiga oladi.
Xeshlar: ko'chirilgan matn saqlangan fayl nomini aniqlaydi (FileDelete tipidagi hodisalar bilan ishlashga o'xshash).
Arxivlangan: holati, almashish buferidagi matn Sysmon arxiv katalogida saqlanganmi yoki yo'qmi.
Oxirgi ikkita maydon tashvishli. Gap shundaki, 11-versiyadan boshlab Sysmon (tegishli sozlamalar bilan) turli xil ma'lumotlarni o'zining arxiv katalogiga saqlashi mumkin. Masalan, Event ID 23 fayllarni o'chirish voqealarini qayd qiladi va ularning barchasini bitta arxiv katalogida saqlashi mumkin. CLIP tegi almashish buferi bilan ishlash natijasida yaratilgan fayllar nomiga qo'shiladi. Fayllarning o'zi clipboardga ko'chirilgan aniq ma'lumotlarni o'z ichiga oladi.
Saqlangan fayl shunday ko'rinadi
O'rnatish vaqtida faylga saqlash yoqilgan. Matn saqlanmaydigan jarayonlarning oq ro'yxatini o'rnatishingiz mumkin.
Sysmon o'rnatilishi tegishli arxiv katalog sozlamalari bilan shunday ko'rinadi:
Bu erda, menimcha, clipboarddan foydalanadigan parol menejerlarini esga olish kerak. Parol boshqaruvchisiga ega tizimda Sysmon bo'lishi sizga (yoki tajovuzkorga) ushbu parollarni qo'lga kiritish imkonini beradi. Ko'chirilgan matnni qaysi jarayon ajratayotganini bilsangiz (va bu har doim ham parol menejeri jarayoni emas, balki ba'zi svchost bo'lishi mumkin), bu istisno oq ro'yxatga qo'shilishi mumkin va saqlanmaydi.
Siz bilmasligingiz mumkin, lekin RDP seans rejimiga o'tganingizda buferdagi matn masofaviy server tomonidan yozib olinadi. Agar sizning vaqtinchalik xotirangizda biror narsa bo'lsa va RDP seanslari o'rtasida almashsangiz, bu ma'lumot siz bilan birga boradi.
Sysmonning almashish buferi bilan ishlash imkoniyatlarini umumlashtiramiz.
Tuzatildi:
- RDP orqali va mahalliy sifatida qo'yilgan matnning matn nusxasi;
- Turli yordamchi dasturlar/jarayonlar orqali ma'lumotlarni almashish buferidan olish;
- Matnni mahalliy virtual mashinadan nusxalash/joylashtirish, hatto bu matn hali qo'yilmagan bo'lsa ham.
Yozib olinmagan:
- Fayllarni mahalliy virtual mashinadan nusxalash/joylashtirish;
- Fayllarni RDP orqali nusxalash/joylashtirish
- Buferingizni o'g'irlaydigan zararli dastur faqat clipboardga yozadi.
O'zining noaniqligiga qaramay, ushbu turdagi hodisa tajovuzkorning harakatlar algoritmini tiklashga imkon beradi va hujumlardan keyin o'limdan keyingi o'limni shakllantirish uchun ilgari mavjud bo'lmagan ma'lumotlarni aniqlashga yordam beradi. Agar tarkibni almashish buferiga yozish hali ham yoqilgan bo'lsa, arxiv katalogiga har bir kirishni yozib olish va potentsial xavflilarini aniqlash muhim (sysmon.exe tomonidan boshlanmagan).
Yuqorida sanab o'tilgan voqealarni yozib olish, tahlil qilish va ularga munosabat bildirish uchun siz ushbu vositadan foydalanishingiz mumkin
InTrust haqida ko'proq ma'lumot olish uchun oldingi maqolalarimizni o'qing yoki
Manba: www.habr.com