Microsoft lanza Sysmon 13 para Windows 10 con detección de manipulación de procesos de malware

Microsoft ha lanzado una nueva versión de la herramienta Sysmon de Windows 10 Sysinternals, que ahora cuenta con la capacidad de detectar cuándo los piratas informáticos inyectan código malicioso en un proceso legítimo de Windows para eludir las medidas de seguridad.

Sysmon 13, que le permite monitorear la actividad de los procesos de Windows 10, ahora puede detectar el vaciado de procesos o procesar técnicas de herpaderping que normalmente no serían visibles en el Administrador de tareas.

El vaciado de procesos es cuando el malware inicia un proceso legítimo en un estado suspendido y reemplaza el código legítimo en el proceso con código malicioso. Este código malicioso luego es ejecutado por el proceso, con los permisos asignados al proceso.

Process herpaderping es donde el malware modifica su imagen en el disco para que parezca un software legítimo después de que se carga el malware. Cuando el software de seguridad escanea el archivo en el disco, verá un archivo inofensivo mientras el código malicioso se ejecuta en la memoria.

La técnica está en uso activo por malware conocido, incluido el ransomware Mailto/defray777, TrickBot y BazarBackdoor.

Para habilitar la detección de manipulación de procesos, los administradores deben agregar la opción de configuración 'Tampering de procesos' a un archivo de configuración. Tu lees el documentación en el sitio de Sysinternals aquí.

Cabe destacar que BleepingComputer encontró falsos positivos con Chrome, Opera, Firefox, Fiddler, Microsoft Edge y varios programas de configuración.

Puede descargar Sysmon desde el sitio dedicado la página de sysinternal or https://live.sysinternals.com/sysmon.exe.

vía BleepingComputer