Microsoft Sysmon现在记录复制到Windows剪贴板的数据

9月20日消息：Microsoft已发布Sysmon 12，它具有一项有用的功能，可记录和捕获添加到Windows剪贴板的所有数据。此功能可以帮助系统管理员和事件响应者跟踪破坏系统的恶意行为者的活动。那些不熟悉Sysmon(也称为系统监视器)的人，它是Sysinternals工具，用于监视Windows系统的恶意活动并将其记录到Windows事件日志中。

Sysmon 12添加剪贴板捕获

在Sysmon 12发行版中，用户现在可以配置该实用程序以在每次将数据复制到剪贴板时生成一个事件。剪贴板数据也保存到只有管理员可以访问以供以后检查的文件中。

由于大多数攻击者在复制和粘贴长命令时都会使用剪贴板，因此监视存储在剪贴板中的数据可以提供有关如何进行攻击的有用见解。

要开始使用，请从Sysinternal专用页面或https://live.sysinternals.com/sysmon.exe下载Sysmon 12。

下载后，请从提升权限的命令提示符运行，因为它需要管理权限才能运行。

仅运行不带任何参数的Sysmon.exe将显示一个帮助屏幕，有关更多详细信息，您可以转到Sysinternals的Sysmon页面。

Sysmon 12帮助

无需任何配置，Sysmon将监视基本事件，例如进程创建和文件时间更改。

通过创建Sysmon配置文件，可以将其配置为记录许多其他类型的信息，我们将使用该文件来启用新的“ CaptureClipboard”指令。

对于将启用剪贴板日志记录和捕获的非常基本的设置，可以使用以下配置文件：

启用CaptureClipboard功能的配置文件

要启动Sysmon并将其定向为使用上述配置文件，您将在提升权限的命令提示符下输入以下命令：

sysmon -i sysmon.cfg.xml

启动后，Sysmon将安装其驱动程序并开始在后台安静地收集数据。

所有Sysmon事件都将在事件查看器中记录到“应用程序和服务日志/ Microsoft / Windows / Sysmon / Operational”中。

启用CaptureClipboard功能后，将数据复制到剪贴板时，它将在事件查看器中生成“事件24-剪贴板已更改”条目，如下所示。

事件24-剪贴板已更改

事件日志条目将显示将数据存储在剪贴板中的进程，复制数据的用户以及完成的时间。但是，它不会显示已复制的实际数据。

而是将复制的数据保存到名为clip-SHA1_HASH的文件中受保护的C：\ Sysmon C：\ Sysmon文件夹中，在上述事件中提供了哈希。

例如，上面显示的事件将剪贴板内容存储在C：\ Sysmon \ CLIP-CC849193D18FF95761CD8A702B66857F329BE85B文件中。

此C：\ Sysmon文件夹受系统ACL保护，要访问它，您需要下载psexec.exe程序，并使用以下命令使用系统特权启动cmd提示符：

psexec -sid cmd

启动新的系统命令提示符后，您可以进入C：\ Sysmon文件夹以访问保存的剪贴板数据。

受保护的C：\ Sysmon文件夹

打开CLIP-CC849193D18FF95761CD8A702B66857F329BE85B文件时，您会看到它包含一个PowerShell命令，该命令是我从Notepad.exe复制到剪贴板中的。

捕获剪贴板数据

此PowerShell命令用于清除Windows中的卷影副本，攻击者可以使用它来使恢复已删除的数据更加困难。

拥有此信息说明了执行事件响应时此功能的有用性。

Sysmon 11中添加的另一个有用功能将自动创建已删除文件的备份，从而使管理员可以恢复攻击中使用的文件。

了解有关Sysmon的更多信息

对于那些想了解更多有关Sysmon的人，强烈建议您阅读Sysinternals网站上的文档，并试用该工具。

没有更好的方法来学习如何使用此程序，然后通过创建配置文件并查看将哪些事件写入事件日志中。

通过输入sysmon.exe -s all命令，可以获得有关Sysmon中使用的各种指令的更多信息。

如果要使用用于监视恶意流量和威胁的预制Sysmon配置文件，则可以在GitHub上使用SwiftOnSecurity的Sysmon配置文件。