ProHoster > Blog > Ma'muriyat > Sysmon endi almashish buferi tarkibini yozishi mumkin

Sysmon endi almashish buferi tarkibini yozishi mumkin

Sysmon-ning 12-versiyasining chiqarilishi 17 sentyabr kuni e'lon qilindi Sysinternals sahifasi. Aslida, shu kuni Process Monitor va ProcDumpning yangi versiyalari ham chiqarildi. Ushbu maqolada men Sysmon-ning 12-versiyasining asosiy va munozarali innovatsiyasi haqida gapiraman - bufer bilan ishlash qayd etilgan voqea ID 24 bo'lgan voqealar turi.

Sysmon endi almashish buferi tarkibini yozishi mumkin

Ushbu turdagi hodisalardan olingan ma'lumotlar shubhali faoliyatni (shuningdek, yangi zaifliklarni) kuzatish uchun yangi imkoniyatlar ochadi. Shunday qilib, kim, qayerda va aynan nimani nusxalashga harakat qilganini tushunishingiz mumkin. Kesim ostida yangi hodisaning ayrim sohalari va bir nechta foydalanish holatlari tavsifi berilgan.

Yangi hodisa quyidagi maydonlarni o'z ichiga oladi:

Tasvir: ma'lumotlarni almashish buferiga yozish jarayoni.
Kirish: clipboard yozilgan sessiya. Bu tizim bo'lishi mumkin (0)
onlayn yoki masofadan ishlaganda va hokazo.
ClientInfo: seans foydalanuvchi nomini va masofaviy seans bo'lsa, asl xost nomini va agar mavjud bo'lsa, IP manzilini o'z ichiga oladi.
Xeshlar: ko'chirilgan matn saqlangan fayl nomini aniqlaydi (FileDelete tipidagi hodisalar bilan ishlashga o'xshash).
Arxivlangan: holati, almashish buferidagi matn Sysmon arxiv katalogida saqlanganmi yoki yo'qmi.

Oxirgi ikkita maydon tashvishli. Gap shundaki, 11-versiyadan boshlab Sysmon (tegishli sozlamalar bilan) turli xil ma'lumotlarni o'zining arxiv katalogiga saqlashi mumkin. Masalan, Event ID 23 fayllarni o'chirish voqealarini qayd qiladi va ularning barchasini bitta arxiv katalogida saqlashi mumkin. CLIP tegi almashish buferi bilan ishlash natijasida yaratilgan fayllar nomiga qo'shiladi. Fayllarning o'zi clipboardga ko'chirilgan aniq ma'lumotlarni o'z ichiga oladi.

Saqlangan fayl shunday ko'rinadi
Sysmon endi almashish buferi tarkibini yozishi mumkin

O'rnatish vaqtida faylga saqlash yoqilgan. Matn saqlanmaydigan jarayonlarning oq ro'yxatini o'rnatishingiz mumkin.

Sysmon o'rnatilishi tegishli arxiv katalog sozlamalari bilan shunday ko'rinadi:
Sysmon endi almashish buferi tarkibini yozishi mumkin

Bu erda, menimcha, clipboarddan foydalanadigan parol menejerlarini esga olish kerak. Parol boshqaruvchisiga ega tizimda Sysmon bo'lishi sizga (yoki tajovuzkorga) ushbu parollarni qo'lga kiritish imkonini beradi. Ko'chirilgan matnni qaysi jarayon ajratayotganini bilsangiz (va bu har doim ham parol menejeri jarayoni emas, balki ba'zi svchost bo'lishi mumkin), bu istisno oq ro'yxatga qo'shilishi mumkin va saqlanmaydi.

Siz bilmasligingiz mumkin, lekin RDP seans rejimiga o'tganingizda buferdagi matn masofaviy server tomonidan yozib olinadi. Agar sizning vaqtinchalik xotirangizda biror narsa bo'lsa va RDP seanslari o'rtasida almashsangiz, bu ma'lumot siz bilan birga boradi.

Sysmonning almashish buferi bilan ishlash imkoniyatlarini umumlashtiramiz.

Tuzatildi:

  • RDP orqali va mahalliy sifatida qo'yilgan matnning matn nusxasi;
  • Turli yordamchi dasturlar/jarayonlar orqali ma'lumotlarni almashish buferidan olish;
  • Matnni mahalliy virtual mashinadan nusxalash/joylashtirish, hatto bu matn hali qo'yilmagan bo'lsa ham.

Yozib olinmagan:

  • Fayllarni mahalliy virtual mashinadan nusxalash/joylashtirish;
  • Fayllarni RDP orqali nusxalash/joylashtirish
  • Buferingizni o'g'irlaydigan zararli dastur faqat clipboardga yozadi.

O'zining noaniqligiga qaramay, ushbu turdagi hodisa tajovuzkorning harakatlar algoritmini tiklashga imkon beradi va hujumlardan keyin o'limdan keyingi o'limni shakllantirish uchun ilgari mavjud bo'lmagan ma'lumotlarni aniqlashga yordam beradi. Agar tarkibni almashish buferiga yozish hali ham yoqilgan bo'lsa, arxiv katalogiga har bir kirishni yozib olish va potentsial xavflilarini aniqlash muhim (sysmon.exe tomonidan boshlanmagan).

Yuqorida sanab o'tilgan voqealarni yozib olish, tahlil qilish va ularga munosabat bildirish uchun siz ushbu vositadan foydalanishingiz mumkin InTrust, bu uchta yondashuvni birlashtiradi va qo'shimcha ravishda barcha to'plangan xom ma'lumotlarning samarali markazlashtirilgan ombori hisoblanadi. Xom ma'lumotlarni qayta ishlash va saqlashni InTrust kompaniyasiga o'tkazish orqali litsenziyalash xarajatlarini minimallashtirish uchun biz uning mashhur SIEM tizimlari bilan integratsiyani sozlashimiz mumkin.

InTrust haqida ko'proq ma'lumot olish uchun oldingi maqolalarimizni o'qing yoki fikr-mulohaza shaklida so'rov qoldiring.

SIEM tizimiga egalik qilish narxini qanday kamaytirish mumkin va nima uchun sizga markaziy jurnalni boshqarish (CLM) kerak

Biz Windows-da shubhali jarayonlarni ishga tushirish haqidagi voqealar to'plamini faollashtiramiz va Quest InTrust yordamida tahdidlarni aniqlaymiz

InTrust RDP orqali muvaffaqiyatsiz avtorizatsiya urinishlari tezligini qanday kamaytirishga yordam beradi

Biz ransomware hujumini aniqlaymiz, domen boshqaruvchisiga kirishga erishamiz va bu hujumlarga qarshi turishga harakat qilamiz

Windows-ga asoslangan ish stantsiyasining jurnallaridan qanday foydali narsalarni olish mumkin? (mashhur maqola)

Kim qildi? Biz axborot xavfsizligi auditini avtomatlashtiramiz

Manba: www.habr.com

a Izoh qo'shish