Microsoft lance Sysmon 13 pour Windows 10 avec détection de falsification des processus malveillants

Microsoft a publié une nouvelle version de l'outil Windows 10 Sysinternals Sysmon, qui offre désormais la possibilité de détecter quand les pirates injectent du code malveillant dans un processus Windows légitime pour contourner les mesures de sécurité.

Sysmon 13, qui vous permet de surveiller l'activité des processus de Windows 10, peut désormais détecter les techniques d'évidement de processus ou d'herpaderping de processus qui ne seraient normalement pas visibles dans le Gestionnaire des tâches.

L'évidement de processus se produit lorsqu'un logiciel malveillant lance un processus légitime dans un état suspendu et remplace le code légitime du processus par un code malveillant. Ce code malveillant est ensuite exécuté par le processus, quelles que soient les autorisations attribuées au processus.

L'herpaderping de processus est l'endroit où le logiciel malveillant modifie son image sur le disque pour ressembler à un logiciel légitime après le chargement du logiciel malveillant. Lorsque le logiciel de sécurité analyse le fichier sur disque, il verra un fichier inoffensif pendant que le code malveillant s'exécute en mémoire.

La technique est activement utilisée par des logiciels malveillants connus, notamment le rançongiciel Mailto/defray777, TrickBot et BazarBackdoor.

Pour activer la détection de falsification de processus, les administrateurs doivent ajouter l'option de configuration "ProcessTampering" à un fichier de configuration. Vous lisez le documentation sur le site de Sysinternals ici.

Il est à noter que BleepingComputer a trouvé des faux positifs avec Chrome, Opera, Firefox, Fiddler, Microsoft Edge et divers programmes d'installation.

Vous pouvez télécharger Sysmon depuis le site dédié La page de Sysinternal or https://live.sysinternals.com/sysmon.exe.

via BleepingComputer