A Microsoft kiadja a Sysmon 13-at Windows 10 rendszerhez a rosszindulatú programok folyamatainak hamisításának észlelésével

A Microsoft kiadta a Sysmon Windows 10 Sysinternals eszköz új verzióját, amely mostantól képes észlelni, ha a hackerek rosszindulatú kódot fecskendeznek be egy legitim Windows-folyamatba a biztonsági intézkedések megkerülése érdekében.

A Sysmon 13, amely lehetővé teszi a Windows 10 folyamatok tevékenységének nyomon követését, mostantól képes észlelni a folyamatürítést vagy a folyamat herpaderping technikáit, amelyek általában nem láthatók a Feladatkezelőben.

A folyamat kiüresítése az, amikor a rosszindulatú program felfüggesztett állapotban legitim folyamatot indít el, és a folyamat során a legitim kódot rosszindulatú kóddal helyettesíti. Ezt a rosszindulatú kódot ezután a folyamat végrehajtja a folyamathoz rendelt engedélyekkel.

A folyamatherpaderping az az eset, amikor a rosszindulatú program a rosszindulatú program betöltése után módosítja a lemezen lévő képét, hogy legitim szoftvernek tűnjön. Amikor a biztonsági szoftver átvizsgálja a lemezen lévő fájlt, ártalmatlan fájlt fog látni, miközben a rosszindulatú kód fut a memóriában.

A technikát aktívan használják ismert rosszindulatú programok, köztük a Mailto/defray777 ransomware, a TrickBot és a BazarBackdoor.

A folyamat-szabotázs észlelésének engedélyezéséhez a rendszergazdáknak hozzá kell adniuk a „ProcessTampering” konfigurációs beállítást egy konfigurációs fájlhoz. Elolvastad a dokumentáció a Sysinternals honlapján itt.

Figyelemre méltó, hogy a BleepingComputer téves pozitív eredményeket talált a Chrome, az Opera, a Firefox, a Fiddler, a Microsoft Edge és a különféle telepítőprogramokban.

A Sysmon letölthető a dedikált webhelyről Sysinternal oldala or https://live.sysinternals.com/sysmon.exe.

keresztül BleepingComputer