Sysmon теперь может записывать содержимое буфера обмена

О релизе 12 версии Sysmon сообщили 17 сентября на странице Sysinternals. На самом деле в этот день вышли также новые версии Process Monitor и ProcDump. В этой статье я расскажу о ключевом и неоднозначном нововведении 12 версии Sysmon — типе событий с Event ID 24, в который логируется работа с буфером обмена. Информация из этого типа событий открывает новые возможности контроля за подозрительной активностью (а также новые уязвимости). Так, вы сможете понимать кто, откуда и что именно пытались скопировать. Под катом описание некоторых полей нового события и парочка юзкейсов. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Объявлены победители международной премии Workspace Digital Awards-2024
• <Cookie> ctrl+c ctrl+v: автоматизируем прохождение авторизации в DAST
• Конкурс Рейтинг Рунета-2024 открыл приём сайтов и приложений
• Социально-этичный маркетинг: в чём суть и как внедрить концепцию?
• Ландшафт угроз информационной безопасности последних лет. Часть 2
• Реализация SHA256 и SHA512 на языке RUST
• Вспомнить за майские: 20 шагов для апгрейда информационной безопасности
• (Не) безопасный дайджест: открытый сервер, морская утечка и атака на цепочку поставок
• Неожиданности IPv6, или почему тупят Instagram и WhatsApp через прокси и VPN
• [Перевод] Бэкдор в основной версии xz/liblzma, ведущий к компрометации SSH-сервера