Η Microsoft κυκλοφόρησε το Sysmon 12 και συνοδεύεται από μια χρήσιμη λειτουργία που καταγράφει τυχόν δεδομένα που έχουν προστεθεί στο Windows Clipboard.
Αυτή η δυνατότητα μπορεί να βοηθήσει τους διαχειριστές συστήματος και τους incident responders να παρακολουθούν τις δραστηριότητες κακόβουλων παραγόντων που μπορεί να θέσουν σε κίνδυνο ένα σύστημα.
Όσοι δεν είναι εξοικειωμένοι με το Sysmon, αλλιώς γνωστό ως System Monitor, είναι ένα εργαλείο Sysinternals που παρακολουθεί τα συστήματα Windows για κακόβουλη δραστηριότητα και κάνει καταγραφή στο αρχείο συμβάντων των Windows.
Με την κυκλοφορία του Sysmon 12, οι χρήστες μπορούν πλέον να διαμορφώσουν το βοηθητικό πρόγραμμα για να δημιουργήσουν ένα συμβάν κάθε φορά που τα δεδομένα αντιγράφονται στο Clipboard. Τα δεδομένα του Clipboard αποθηκεύονται επίσης σε αρχεία που είναι προσβάσιμα μόνο από τους διαχειριστές για μελλοντική εξέταση.
Καθώς οι περισσότεροι εισβολείς χρησιμοποιούν το Clipboard κατά την αντιγραφή και επικόλληση των Long Commands, η παρακολούθηση των δεδομένων που είναι αποθηκευμένα στο Clipboard μπορεί να παρέχει χρήσιμες πληροφορίες σχετικά με τον τρόπο διεξαγωγής μιας επίθεσης.
Για να χρησιμοποιήσετε την λειτουργία, κατεβάστε το Sysmon 12 από την ειδική σελίδα του Sysinternal ή https://live.sysinternals.com/sysmon.exe.
Μετά τη λήψη, εκτελέστε το από μια γραμμή εντολών με αναβαθμισμένα δικαιώματα, καθώς χρειάζεται δικαιώματα διαχειριστή για να εκτελεστεί.
Η απλή εκτέλεση του Sysmon.exe θα εμφανίσει μια “βοηθητική οθόνη” και για πιο λεπτομερείς πληροφορίες, μπορείτε να μεταβείτε στη σελίδα του Sysmon.
Χωρίς καμία διαμόρφωση, το Sysmon θα παρακολουθεί βασικά συμβάντα, όπως η δημιουργία διαδικασιών και οι χρονικές αλλαγές στα τρέχοντα αρχεία.
Αν το διαμορφώσουμε μπορεί να καταγράψει και πολλούς άλλους τύπους συμβάντων, δημιουργώντας ένα αρχείο διαμόρφωσης Sysmon, το οποίο θα κάνουμε για να ενεργοποιήσουμε τη νέα οδηγία «CaptureClipboard».
Για μια πολύ βασική ρύθμιση που θα επιτρέπει την σύνδεση και την καταγραφή του Clipboard, μπορείτε να χρησιμοποιήσετε το αρχείο διαμόρφωσης που βλέπετε παρακάτω:
Για να εκκινήσετε το Sysmοn και να το κατευθύνετε να χρησιμοποιεί το παραπάνω αρχείο διαμόρφωσης, θα πρέπει να εισάγετε την ακόλουθη εντολή από μια γραμμή εντολών με αναβαθμισμένα δικαιώματα:
Μόλις ξεκινήσει, το Sysmon θα εγκαταστήσει τον driver και θα αρχίσει να συλλέγει δεδομένα αθόρυβα στο παρασκήνιο.
Όλα τα συμβάντα του Sysmοn θα καταγραφούν στο “Applications and Services Logs/Microsoft/Windows/Sysmon/Operational” στο Event Viewer.
Με ενεργοποιημένη τη δυνατότητα CaptureClipboard, όταν τα δεδομένα αντιγράφονται στο Clipboard, θα δημιουργηθεί μια καταχώριση “Event 24 – Clipboard Changed” στον Event Viewer, όπως βλέπετε παρακάτω.
Η καταχώριση καταγραφής συμβάντων θα εμφανίσει ποια διαδικασία αποθηκεύτηκε τα δεδομένα στο πρόχειρο, τον χρήστη που την αντέγραψε και πότε έγινε. Ωστόσο, δεν θα δείξει τα πραγματικά δεδομένα που αντιγράφηκαν.
Τα αντιγραμμένα δεδομένα αποθηκεύονται στον προστατευμένο φάκελο C: \ Sysmon C: \ Sysmοn σε αρχεία των οποίων τα ονόματα είναι τύπου clip-SHA1_HASH, όπου το hash παρέχεται στο παραπάνω συμβάν.
Για παράδειγμα, το συμβάν που εμφανίζεται παραπάνω θα έχει το περιεχόμενο του Clipboard αποθηκευμένο στο αρχείο C:\Sysmon\CLIP-CC849193D18FF95761CD8A702B66857F329BE85B.
Αυτός ο φάκελος C: \ Sysmon προστατεύεται με σύστημα ACL και για να αποκτήσετε πρόσβαση σε αυτόν, πρέπει να κάνετε λήψη του προγράμματος psexec.exe και να ξεκινήσετε μια ερώτηση cmd με δικαιώματα συστήματος χρησιμοποιώντας την ακόλουθη εντολή:
Μετά την έναρξη της νέας γραμμής εντολών συστήματος, μπορείτε να μεταβείτε στο φάκελο C: \ Sysmοn για να αποκτήσετε πρόσβαση στα αποθηκευμένα δεδομένα του πρόχειρου.
Κατά το άνοιγμα του αρχείου CLIP-CC849193D18FF95761CD8A702B66857F329BE85B, μπορείτε να δείτε ότι περιέχει μια εντολή PowerShell η οποία αντιγράφεται στο Notepad.
Αυτή η εντολή PowerShell χρησιμοποιείται για την εκκαθάριση των Shadow Volume Copies στα Windows, τα οποία μπορούν να χρησιμοποιηθούν από έναν εισβολέα που θέλει να κάνει πιο δύσκολη την επαναφορά των διαγραμμένων δεδομένων.
Η ύπαρξη αυτών των πληροφοριών δείχνει πόσο χρήσιμη μπορεί να είναι αυτή η λειτουργία κατά την εκτέλεση ενός “incident response”.
Μια άλλη χρήσιμη δυνατότητα που προστέθηκε στο Microsoft Sysmon 11 θα δημιουργήσει αυτόματα αντίγραφα ασφαλείας των διαγραμμένων αρχείων, επιτρέποντας στους διαχειριστές να ανακτήσουν αρχεία που έχουν χρησιμοποιηθεί σε μια επίθεση.
Πηγή: Bleepingcomputer.com
