Společnost Microsoft vydala Sysmon 13 pro Windows 10 s detekcí manipulace s malwarem

Společnost Microsoft vydala novou verzi nástroje Sysinternals systému Windows 10 Sysmon, který nyní nabízí možnost detekovat, kdy hackeři vloží škodlivý kód do legitimního procesu Windows, aby obešli bezpečnostní opatření.

Sysmon 13, který vám umožňuje monitorovat aktivitu procesů Windows 10, nyní dokáže detekovat proces dupání nebo techniky herpaderpingu, které by za normálních okolností nebyly ve Správci úloh viditelné.

Process hollowing je, když malware spustí legitimní proces v pozastaveném stavu a nahradí legitimní kód v procesu škodlivým kódem. Tento škodlivý kód je pak spuštěn procesem s jakýmikoli oprávněními, která jsou procesu přiřazena.

Proces herpaderping je místo, kde malware po načtení malwaru upraví svůj obraz na disku tak, aby vypadal jako legitimní software. Když bezpečnostní software prohledá soubor na disku, uvidí během běhu škodlivého kódu v paměti neškodný soubor.

Techniku ​​aktivně používá známý malware včetně ransomwaru Mailto/defray777, TrickBot a BazarBackdoor.

Chcete-li povolit detekci neoprávněného zásahu do procesu, musí správci přidat do konfiguračního souboru možnost konfigurace „ProcessTampering“. Přečetli jste si dokumentace na webu Sysinternals zde.

Je pozoruhodné, že BleepingComputer našel falešné poplachy u prohlížečů Chrome, Opera, Firefox, Fiddler, Microsoft Edge a různých instalačních programů.

Sysmon si můžete stáhnout z vyhrazeného Stránka Sysinternal or https://live.sysinternals.com/sysmon.exe.

přes BleepingComputer