Microsoft veröffentlicht Sysmon 13 für Windows 10 mit Malware-Prozessmanipulationserkennung
2 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Microsoft hat eine neue Version des Windows 10 Sysinternals-Tools Sysmon veröffentlicht, das jetzt die Fähigkeit bietet, zu erkennen, wenn Hacker schädlichen Code in einen legitimen Windows-Prozess einschleusen, um Sicherheitsmaßnahmen zu umgehen.
Sysmon 13, mit dem Sie die Aktivität von Windows 10-Prozessen überwachen können, kann jetzt Prozessaushöhlungen oder Herpaderping-Techniken erkennen, die normalerweise im Task-Manager nicht sichtbar wären.
Process Hollowing liegt vor, wenn Malware einen legitimen Prozess in einem angehaltenen Zustand startet und dabei legitimen Code durch bösartigen Code ersetzt. Dieser bösartige Code wird dann vom Prozess ausgeführt, mit allen Berechtigungen, die dem Prozess zugewiesen sind.
Prozess-Herpaderping ist, wo Malware ihr Image auf der Festplatte ändert, um wie legitime Software auszusehen, nachdem die Malware geladen wurde. Wenn die Sicherheitssoftware die Datei auf der Festplatte scannt, sieht sie eine harmlose Datei, während der bösartige Code im Arbeitsspeicher ausgeführt wird.
Die Technik wird aktiv von bekannter Malware verwendet, darunter Mailto/defray777 Ransomware, TrickBot und BazarBackdoor.
Um die Prozessmanipulationserkennung zu aktivieren, müssen Administratoren die Konfigurationsoption „ProcessTampering“ zu einer Konfigurationsdatei hinzufügen. Sie lesen die Dokumentation auf der Website von Sysinternals hier.
Es ist bemerkenswert, dass BleepingComputer mit Chrome, Opera, Firefox, Fiddler, Microsoft Edge und verschiedenen Setup-Programmen falsch positive Ergebnisse gefunden hat.
Sie können Sysmon von der dedizierten herunterladen Die Seite von Sysinternal or https://live.sysinternals.com/sysmon.exe.
