Sysmon 版本 12 於 17 月 XNUMX 日宣布發布 。 事實上,新版本的Process Monitor和ProcDump也在這一天發布。 在本文中,我將討論 Sysmon 版本 12 的關鍵且有爭議的創新 - 事件 ID 為 24 的事件類型,其中記錄了剪貼簿的操作。
來自此類事件的資訊為監控可疑活動(以及新漏洞)提供了新的機會。 因此,您可以了解他們試圖複製的物件、地點和內容。 剪輯下方是對新事件的一些欄位和幾個用例的描述。
新事件包含以下欄位:
圖片: 將資料寫入剪貼簿的過程。
會議: 寫入剪貼簿的會話。 可能是系統(0)
線上或遠距工作等時
客戶資訊: 包含會話使用者名,如果是遠端會話,也包含原始主機名稱和 IP 位址(如果可用)。
哈希值: 確定儲存複製文字的檔案的名稱(類似於使用 FileDelete 類型的事件)。
存檔: status,剪貼簿中的文字是否會儲存在 Sysmon 檔案目錄中。
最後幾個字段令人震驚。 事實上,從版本 11 開始,Sysmon 可以(透過適當的設定)將各種資料保存到其存檔目錄中。 例如,事件 ID 23 記錄檔案刪除事件,並可以將它們全部保存在同一存檔目錄中。 CLIP 標記將會加入到使用剪貼簿建立的檔案的名稱中。 文件本身包含複製到剪貼簿的確切資料。
這是已儲存的文件的樣子
安裝期間啟用儲存到檔案。 您可以設定不儲存文字的進程白名單。
這是具有適當存檔目錄設定的 Sysmon 安裝的樣子:
我認為,在這裡值得記住也使用剪貼簿的密碼管理器。 在具有密碼管理器的系統上安裝 Sysmon 將允許您(或攻擊者)捕獲這些密碼。 假設您知道哪個進程正在分配複製的文字(並且這並不總是密碼管理器進程,但可能是某個 svchost),則可以將此異常添加到白名單中並且不保存。
您可能不知道,當您在 RDP 會話模式下切換到遠端伺服器時,剪貼簿中的文字會被遠端伺服器捕獲。 如果您的剪貼簿上有某些內容,並且您在 RDP 會話之間切換,則該資訊將隨身攜帶。
讓我們總結一下 Sysmon 使用剪貼簿的功能。
固定的:
- 透過 RDP 和本機貼上文字的文字副本;
- 透過各種實用程式/進程從剪貼簿捕獲資料;
- 將文字從本機虛擬機複製/貼上到本機虛擬機,即使該文字尚未貼上。
未記錄:
- 從本機虛擬機器複製/貼上檔案;
- 透過 RDP 複製/貼上文件
- 劫持剪貼簿的惡意軟體只會寫入剪貼簿本身。
儘管其模糊性,此類事件將允許您恢復攻擊者的操作演算法,並幫助識別以前無法訪問的數據,以便在攻擊後形成事後分析。 如果仍啟用將內容寫入剪貼簿,則記錄對存檔目錄的每次存取並識別潛在危險的存取(不是由 sysmon.exe 啟動)非常重要。
要記錄、分析上面列出的事件並做出反應,您可以使用該工具 ,它結合了所有三種方法,此外,它也是所有收集的原始資料的有效集中儲存庫。 我們可以配置其與流行的 SIEM 系統的集成,透過將原始資料的處理和儲存轉移到 InTrust 來最大限度地降低其授權成本。
要了解有關 InTrust 的更多信息,請閱讀我們之前的文章或 .
(熱門文章)
來源: www.habr.com