Sysmon теперь может записывать содержимое буфера обмена

    О релизе 12 версии Sysmon сообщили 17 сентября на странице Sysinternals. На самом деле в этот день вышли также новые версии Process Monitor и ProcDump. В этой статье я расскажу о ключевом и неоднозначном нововведении 12 версии Sysmon — типе событий с Event ID 24, в который логируется работа с буфером обмена.



    Информация из этого типа событий открывает новые возможности контроля за подозрительной активностью (а также новые уязвимости). Так, вы сможете понимать кто, откуда и что именно пытались скопировать. Под катом описание некоторых полей нового события и парочка юзкейсов.

    Новое событие содержит следующие поля:

    Image: процесс, данные из которого были записаны в буфер обмена.
    Session: сеанс, в котором выполнилась запись в буфер обмена. Это может быть system(0)
    при работе в интерактивном или удаленном режиме и т.д.
    ClientInfo: содержит имя пользователя сеанса, а в случае удаленного сеанса — исходное имя хоста и IP-адрес, если эти данные доступны.
    Hashes: определяет имя файла, в котором был сохранен скопированный текст (аналогично работе с событиями типа FileDelete).
    Archived: статус, был ли сохранен текст из буфера обмена в архивной директории Sysmon.

    Пара последних полей вызывают тревогу. Дело в том, что с версии 11 Sysmon может (при соответствующих настройках) сохранять разные данные в свою архивную директорию. Например, Event ID 23 логирует в себя события по удалению файлов и может их сохранять всё в той же архивной директории. К имени файлов, созданных в результате работы с буфером обмена, добавляется тег CLIP. Сами файлы содержат точные данные, которые были скопированы в буфер обмена.

    Так выглядит сохраненный файл
    image

    Сохранение в файл включается при установке. Можно устанавливать белые списки процессов, по которым текст сохраняться не будет.

    Так выглядит установка Sysmon с соответствующей настройкой архивной директории:
    image

    Тут, я думаю, стоит вспомнить о менеджерах паролей, которые также используют буфер обмена. Наличие Sysmon в системе с менеджером паролей позволит вам (или злоумышленнику) захватывать эти пароли. Если допустить, что вам известно какой именно процесс аллоцирует скопированный текст (а это не всегда процесс менеджера паролей, а может быть какой-нибудь svchost), это исключение можно добавить в белый список и не сохранять.

    Может вы не знали, но текст из буфера обмена захватывается удаленным сервером при переключении на него в режиме сеанса RDP. Если у вас есть что-то в буфере обмена и вы переключаетесь между сеансами RDP, эта информация будет путешествовать с вами.

    Подведем итог возможностей Sysmon по работе с буфером обмена.

    Фиксируются:

    • Текстовая копия вставляемого текста через RDP и локально;
    • Захват данных из буфера обмена различными утилитами/процессами;
    • Копирование/вставка текста с/на локальную виртуальную машину, даже если этот текст ещё не был вставлен.

    Не фиксируются:

    • Копирование/вставка файлов с/на локальную виртуальную машину;
    • Копирование/вставка файлов через RDP
    • Вредоносная программа, захватывающая ваш буфер обмена, записывает только в сам буфер обмена.

    При всей своей неоднозначности, этот тип событий позволит восстановить алгоритм действий злоумышленника и поможет выявить ранее недоступные данные для формирования постмортемов после атак. Если запись содержимого в буфер обмена все же включена, важно фиксировать каждый факт доступа к архивной директории и выявлять потенциально опасные (инициированные не sysmon.exe).

    Для фиксации, анализа и реакции на перечисленные выше события можно использовать инструмент InTrust, который сочетает в себе все три подхода и, к тому же, является эффективным централизованным хранилищем всех собранных сырых данных. Мы можем настроить его интеграцию с популярными SIEM-системами для минимизации расходов на их лицензионное обеспечение за счет переноса обработки и хранения сырых данных в InTrust.

    Чтобы узнать подробнее про InTrust, прочитайте наши предыдущие статьи или оставьте заявку в форме обратной связи.

    Как снизить стоимость владения SIEM-системой и зачем нужен Central Log Management (CLM)

    Включаем сбор событий о запуске подозрительных процессов в Windows и выявляем угрозы при помощи Quest InTrust

    Как InTrust может помочь снизить частоту неудачных попыток авторизаций через RDP

    Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам

    Что полезного можно вытащить из логов рабочей станции на базе ОС Windows (популярная статья)

    А кто это сделал? Автоматизируем аудит информационной безопасности
    Gals Software
    Компания

    Комментарии 4

      0
      Наличие Sysmon в системе с менеджером паролей позволит вам (или злоумышленнику) захватывать эти пароли.

      оставляя в стороне RDP, что мешает злоумышленнику следить за буфером обмена без наличия sysmon? тыц

        +1
        Для начала, наличие sysmon в системе означает, что поставивший его туда знает, что делает.
        Наличие дебаггера в системе так вообще позволяет чудеса творить.
        +2
        Может вы не знали, но текст из буфера обмена захватывается удаленным сервером при переключении на него в режиме сеанса RDP. Если у вас есть что-то в буфере обмена и вы переключаетесь между сеансами RDP, эта информация будет путешествовать с вами.
        И это прекрасно, как и возможность копировать файлы через RDP без задротства с подключаемыми дисками.
          0
          И это прекрасно, как и возможность копировать файлы через RDP без задротства с подключаемыми дисками.

          Пока кто-нибудь не решит подменить данные в буфере обмена.
          Также никто не гарантирует целостность данных и правильную интерпретацию их на принимающей стороне. Еще недавно многие страдали от несовпадения кодировок текста.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое