Microsoft merilis Sysmon 13 untuk Windows 10 dengan deteksi gangguan proses malware

Ikon waktu membaca 2 menit Baca


Pembaca membantu dukungan MSpoweruser. Kami mungkin mendapat komisi jika Anda membeli melalui tautan kami. Ikon Keterangan Alat

Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut

proses-hollowing

Microsoft telah merilis versi baru dari alat Sysinternals Windows 10 Sysmon, yang sekarang memiliki kemampuan untuk mendeteksi ketika peretas menyuntikkan kode berbahaya ke dalam proses Windows yang sah untuk melewati langkah-langkah keamanan.

Sysmon 13, yang memungkinkan Anda memantau aktivitas proses Windows 10, sekarang dapat mendeteksi proses lekukan atau teknik herpaderping proses yang biasanya tidak terlihat di Pengelola Tugas.

Pengosongan proses adalah ketika malware meluncurkan proses yang sah dalam status ditangguhkan dan mengganti kode yang sah dalam proses dengan kode berbahaya. Kode berbahaya ini kemudian dieksekusi oleh proses, dengan izin apa pun yang ditetapkan untuk proses tersebut.

Proses herpaderping adalah tempat malware memodifikasi gambarnya di disk agar terlihat seperti perangkat lunak yang sah setelah malware dimuat. Ketika perangkat lunak keamanan memindai file di disk, itu akan melihat file yang tidak berbahaya saat kode berbahaya berjalan di memori.

Teknik ini digunakan secara aktif oleh malware yang dikenal termasuk ransomware Mailto/defray777, TrickBot, dan BazarBackdoor.

Untuk mengaktifkan deteksi gangguan proses, admin perlu menambahkan opsi konfigurasi 'ProcessTampering' ke file konfigurasi. Anda membaca dokumentasi di situs Sysinternals di sini.

Perlu dicatat bahwa BleepingComputer menemukan kesalahan positif dengan Chrome, Opera, Firefox, Fiddler, Microsoft Edge dan berbagai program pengaturan.

Anda dapat mengunduh Sysmon dari yang berdedikasi halaman Sysinternal or https://live.sysinternals.com/sysmon.exe.

melalui BleepingComputer

forum pengguna

Pesan 0