Microsoft izdaje Sysmon 13 za Windows 10 s otkrivanjem neovlaštenog procesa zlonamjernog softvera

Microsoft je izdao novu verziju alata Sysinternals za Windows 10 Sysmon, koji sada ima mogućnost otkrivanja kada hakeri ubrizgavaju zlonamjerni kod u legitimni Windows proces kako bi zaobišli sigurnosne mjere.

Sysmon 13, koji vam omogućuje praćenje aktivnosti Windows 10 procesa, sada može otkriti šuplje procese ili tehnike obrade herpaderpinga koje inače ne bi bile vidljive u Upravitelju zadataka.

Zatvaranje procesa je kada zlonamjerni softver pokreće legitiman proces u suspendiranom stanju i zamjenjuje legitimni kod u procesu zlonamjernim kodom. Taj zlonamjerni kod zatim izvršava proces, s svim dopuštenjima koja su dodijeljena procesu.

Proces herpaderping je mjesto gdje zlonamjerni softver mijenja svoju sliku na disku kako bi izgledao kao legitiman softver nakon što se zlonamjerni softver učita. Kada sigurnosni softver skenira datoteku na disku, vidjet će bezopasnu datoteku dok se zlonamjerni kod izvodi u memoriji.

Tehnika je u aktivnoj upotrebi poznatih zlonamjernih programa, uključujući Mailto/defray777 ransomware, TrickBot i BazarBackdoor.

Da bi omogućili otkrivanje neovlaštenih postupaka, administratori moraju u konfiguracijsku datoteku dodati opciju konfiguracije 'Process Tampering'. Pročitali ste dokumentaciju na Sysinternals stranici ovdje.

Primjetno je da je BleepingComputer pronašao lažne pozitivne rezultate kod Chromea, Opera, Firefoxa, Fiddlera, Microsoft Edgea i raznih programa za postavljanje.

Sysmon možete preuzeti s namjenskog Stranica Sysinternala or https://live.sysinternals.com/sysmon.exe.

preko BleepingComputer