Microsoft julkaisee Sysmon 13:n Windows 10:lle, jossa on haittaohjelmien prosessin peukaloinnin havaitseminen

Microsoft on julkaissut uuden version Windows 10 Sysinternals -työkalusta Sysmon, joka sisältää nyt mahdollisuuden havaita, milloin hakkerit ruiskuttavat haitallista koodia lailliseen Windows-prosessiin suojaustoimenpiteiden ohittamiseksi.

Sysmon 13, jonka avulla voit seurata Windows 10 -prosessien toimintaa, pystyy nyt havaitsemaan prosessin tyhjennyksen tai prosessin herpaderping-tekniikat, jotka eivät normaalisti näy Tehtävienhallinnassa.

Prosessin tyhjennys tarkoittaa sitä, että haittaohjelma käynnistää laillisen prosessin keskeytetyssä tilassa ja korvaa prosessissa olevan laillisen koodin haitallisella koodilla. Prosessi suorittaa sitten tämän haitallisen koodin prosessille myönnetyillä käyttöoikeuksilla.

Prosessiherpaderping tarkoittaa sitä, että haittaohjelma muokkaa levyllä olevaa kuvaansa näyttämään lailliselta ohjelmistolta haittaohjelman lataamisen jälkeen. Kun tietoturvaohjelmisto skannaa levyllä olevan tiedoston, se näkee vaarattoman tiedoston, kun haittakoodi suoritetaan muistissa.

Tekniikka on aktiivisessa käytössä tunnetuilla haittaohjelmilla, mukaan lukien Mailto/defray777 ransomware, TrickBot ja BazarBackdoor.

Jotta prosessin peukaloinnin havaitseminen voidaan ottaa käyttöön, järjestelmänvalvojien on lisättävä määritystiedostoon ProcessTampering-määritysvaihtoehto. Sinä luet dokumentaatio Sysinternalsin sivustolla täällä.

On huomionarvoista, että BleepingComputer löysi vääriä positiivisia tuloksia Chromesta, Operasta, Firefoxista, Fiddleristä, Microsoft Edgestä ja useista asennusohjelmista.

Voit ladata Sysmonin omistetusta ohjelmistosta Sysinternalin sivu or https://live.sysinternals.com/sysmon.exe.

kautta BleepingComputer