Microsoft frigiver Sysmon 13 til Windows 10 med opdagelse af manipulation af malware-processer

Microsoft har udgivet en ny version af Windows 10 Sysinternals-værktøjet Sysmon, som nu har mulighed for at registrere, når hackere injicerer ondsindet kode i en legitim Windows-proces for at omgå sikkerhedsforanstaltninger.

Sysmon 13, som lader dig overvåge aktiviteten af ​​Windows 10-processer, kan nu detektere procesudhulning eller behandle herpaderping-teknikker, som normalt ikke ville være synlige i Task Manager.

Procesudhulning er, når malware starter en legitim proces i en suspenderet tilstand og erstatter legitim kode i processen med ondsindet kode. Denne ondsindede kode udføres derefter af processen, uanset hvilke tilladelser der er tildelt processen.

Process herpaderping er, hvor malware ændrer sit billede på disken til at ligne legitim software, efter at malware er indlæst. Når sikkerhedssoftware scanner filen på disken, vil den se en harmløs fil, mens den skadelige kode kører i hukommelsen.

Teknikken er i aktiv brug af kendt malware, herunder Mailto/defray777 ransomware, TrickBot og BazarBackdoor.

For at aktivere registrering af procesmanipulation skal administratorer tilføje konfigurationsmuligheden 'ProcessTampering' til en konfigurationsfil. Du læser dokumentation på Sysinternals' side her.

Det er bemærkelsesværdigt, at BleepingComputer fandt falske positiver med Chrome, Opera, Firefox, Fiddler, Microsoft Edge og forskellige opsætningsprogrammer.

Du kan downloade Sysmon fra den dedikerede Sysinternals side or https://live.sysinternals.com/sysmon.exe.

via BleepingComputer