Sysmon 版本 12 于 17 月 XNUMX 日宣布发布 。 事实上,新版本的Process Monitor和ProcDump也在这一天发布。 在本文中,我将讨论 Sysmon 版本 12 的关键且有争议的创新 - 事件 ID 为 24 的事件类型,其中记录了剪贴板的操作。
来自此类事件的信息为监控可疑活动(以及新漏洞)提供了新的机会。 因此,您可以了解他们试图复制的对象、地点和内容。 剪辑下方是对新事件的一些字段和几个用例的描述。
新事件包含以下字段:
图片: 将数据写入剪贴板的过程。
会议: 写入剪贴板的会话。 可能是系统(0)
在线或远程工作等时
客户信息: 包含会话用户名,如果是远程会话,还包含原始主机名和 IP 地址(如果可用)。
哈希: 确定保存复制文本的文件的名称(类似于使用 FileDelete 类型的事件)。
已封存: status,剪贴板中的文本是否保存在 Sysmon 存档目录中。
最后几个字段令人震惊。 事实上,从版本 11 开始,Sysmon 可以(通过适当的设置)将各种数据保存到其存档目录中。 例如,事件 ID 23 记录文件删除事件,并可以将它们全部保存在同一存档目录中。 CLIP 标记将添加到使用剪贴板创建的文件的名称中。 文件本身包含复制到剪贴板的确切数据。
这是保存的文件的样子
安装期间启用保存到文件。 您可以设置不保存文本的进程白名单。
这是具有适当存档目录设置的 Sysmon 安装的样子:
我认为,在这里值得记住也使用剪贴板的密码管理器。 在带有密码管理器的系统上安装 Sysmon 将允许您(或攻击者)捕获这些密码。 假设您知道哪个进程分配了复制的文本(并且这并不总是密码管理器进程,但可能是某个 svchost),则可以将此异常添加到白名单中并且不保存。
您可能不知道,当您在 RDP 会话模式下切换到远程服务器时,剪贴板中的文本会被远程服务器捕获。 如果您的剪贴板上有某些内容,并且您在 RDP 会话之间切换,则该信息将随身携带。
让我们总结一下 Sysmon 使用剪贴板的功能。
固定的:
- 通过 RDP 和本地粘贴文本的文本副本;
- 通过各种实用程序/进程从剪贴板捕获数据;
- 将文本从本地虚拟机复制/粘贴到本地虚拟机,即使该文本尚未粘贴。
未记录:
- 从本地虚拟机复制/粘贴文件;
- 通过 RDP 复制/粘贴文件
- 劫持剪贴板的恶意软件只会写入剪贴板本身。
尽管其模糊性,此类事件将允许您恢复攻击者的操作算法,并帮助识别以前无法访问的数据,以便在攻击后形成事后分析。 如果仍然启用将内容写入剪贴板,则记录对存档目录的每次访问并识别潜在危险的访问(不是由 sysmon.exe 启动)非常重要。
要记录、分析上面列出的事件并做出反应,您可以使用该工具 ,它结合了所有三种方法,此外,它还是所有收集的原始数据的有效集中存储库。 我们可以配置其与流行的 SIEM 系统的集成,通过将原始数据的处理和存储转移到 InTrust 来最大限度地降低其许可成本。
要了解有关 InTrust 的更多信息,请阅读我们之前的文章或 .
(热门文章)
来源: habr.com