Microsoft rilascia Sysmon 13 per Windows 10 con rilevamento della manomissione del processo malware

Microsoft ha rilasciato una nuova versione dello strumento Sysinternals di Windows 10, Sysmon, che ora offre la capacità di rilevare quando gli hacker iniettano codice dannoso in un processo legittimo di Windows per aggirare le misure di sicurezza.

Sysmon 13, che ti consente di monitorare l'attività dei processi di Windows 10, ora è in grado di rilevare tecniche di svuotamento dei processi o di elaborazione di herpaderping che normalmente non sarebbero visibili in Task Manager.

Il process hollowing è quando il malware avvia un processo legittimo in uno stato sospeso e sostituisce il codice legittimo nel processo con codice dannoso. Questo codice dannoso viene quindi eseguito dal processo, con tutte le autorizzazioni assegnate al processo.

Il processo herpaderping è il punto in cui il malware modifica la propria immagine sul disco in modo che assomigli a un software legittimo dopo il caricamento del malware. Quando il software di sicurezza esegue la scansione del file su disco, vedrà un file innocuo mentre il codice dannoso viene eseguito in memoria.

La tecnica è utilizzata attivamente da malware noti tra cui Mailto/defray777 ransomware, TrickBot e BazarBackdoor.

Per abilitare il rilevamento della manomissione del processo, gli amministratori devono aggiungere l'opzione di configurazione "ProcessTampering" a un file di configurazione. Hai letto il documentazione sul sito di Sysinternals qui.

È da notare che BleepingComputer ha riscontrato falsi positivi con Chrome, Opera, Firefox, Fiddler, Microsoft Edge e vari programmi di installazione.

Puoi scaricare Sysmon dall'apposito Pagina di Sysinternal or https://live.sysinternals.com/sysmon.exe.

via BleepingComputer