Η Microsoft κυκλοφορεί το Sysmon 13 για Windows 10 με ανίχνευση παραβίασης διεργασιών κακόβουλου λογισμικού

Η Microsoft κυκλοφόρησε μια νέα έκδοση του εργαλείου Sysinternals των Windows 10 Sysmon, το οποίο διαθέτει πλέον τη δυνατότητα να εντοπίζει πότε οι χάκερ εισάγουν κακόβουλο κώδικα σε μια νόμιμη διαδικασία των Windows για να παρακάμψουν τα μέτρα ασφαλείας.

Το Sysmon 13, το οποίο σας επιτρέπει να παρακολουθείτε τη δραστηριότητα των διεργασιών των Windows 10, μπορεί πλέον να ανιχνεύει διαδικασίες κοίλωσης ή να επεξεργάζεται τεχνικές herpaderping που κανονικά δεν θα ήταν ορατές στη Διαχείριση εργασιών.

Το κενό διαδικασίας είναι όταν το κακόβουλο λογισμικό εκκινεί μια νόμιμη διαδικασία σε κατάσταση αναστολής και αντικαθιστά τον νόμιμο κώδικα στη διαδικασία με κακόβουλο κώδικα. Αυτός ο κακόβουλος κώδικας εκτελείται στη συνέχεια από τη διεργασία, με οποιαδήποτε δικαιώματα εκχωρούνται στη διαδικασία.

Η διαδικασία herpaderping είναι όπου το κακόβουλο λογισμικό τροποποιεί την εικόνα του στο δίσκο ώστε να μοιάζει με νόμιμο λογισμικό μετά τη φόρτωση του κακόβουλου λογισμικού. Όταν το λογισμικό ασφαλείας σαρώνει το αρχείο στο δίσκο, θα δει ένα αβλαβές αρχείο ενώ ο κακόβουλος κώδικας εκτελείται στη μνήμη.

Η τεχνική χρησιμοποιείται ενεργά από γνωστό κακόβουλο λογισμικό, συμπεριλαμβανομένων των Mailto/defray777 ransomware, TrickBot και BazarBackdoor.

Για να ενεργοποιηθεί ο εντοπισμός παραβίασης διεργασιών, οι διαχειριστές πρέπει να προσθέσουν την επιλογή διαμόρφωσης «ProcessTampering» σε ένα αρχείο διαμόρφωσης. Διαβάζεις το τεκμηρίωση στον ιστότοπο του Sysinternals εδώ.

Είναι αξιοσημείωτο ότι το BleepingComputer βρήκε ψευδώς θετικά στοιχεία με Chrome, Opera, Firefox, Fiddler, Microsoft Edge και διάφορα προγράμματα εγκατάστασης.

Μπορείτε να κατεβάσετε το Sysmon από το ειδικό Η σελίδα του Sysinternal or https://live.sysinternals.com/sysmon.exe.

μέσω BleepingComputer