מיקרוסופט משחררת את Sysmon 13 עבור Windows 10 עם זיהוי תהליכי חבלה של תוכנות זדוניות

מיקרוסופט פרסמה גרסה חדשה של כלי Windows 10 Sysinternals Sysmon, שכעת מציגה את היכולת לזהות מתי האקרים מחדירים קוד זדוני לתהליך לגיטימי של Windows כדי לעקוף אמצעי אבטחה.

Sysmon 13, המאפשר לך לפקח על הפעילות של תהליכי Windows 10, יכול כעת לזהות תהליכי חלול או טכניקות עיבוד של herpaderping שבדרך כלל לא יהיו גלויות במנהל המשימות.

חלילת תהליכים היא כאשר תוכנה זדונית משיקה תהליך לגיטימי במצב מושעה ומחליפה קוד לגיטימי בתהליך בקוד זדוני. הקוד הזדוני הזה מופעל על ידי התהליך, עם כל ההרשאות המוקצות לתהליך.

תהליך herpaderping הוא המקום בו תוכנה זדונית משנה את התמונה שלה בדיסק כך שתראה כמו תוכנה לגיטימית לאחר טעינת התוכנה הזדונית. כאשר תוכנת אבטחה סורקת את הקובץ בדיסק, היא תראה קובץ לא מזיק בזמן שהקוד הזדוני פועל בזיכרון.

הטכניקה נמצאת בשימוש פעיל על ידי תוכנות זדוניות ידועות כולל Mailto/defray777 Ransomware, TrickBot ו-BazarBackdoor.

כדי לאפשר זיהוי של שיבוש תהליכים, מנהלי מערכת צריכים להוסיף את אפשרות התצורה 'ProcessTampering' לקובץ תצורה. אתה קורא את תיעוד באתר של Sysinternals כאן.

ראוי לציין כי BleepingComputer מצא תוצאות חיוביות כוזבות עם Chrome, Opera, Firefox, Fiddler, Microsoft Edge ותוכניות התקנה שונות.

אתה יכול להוריד את Sysmon מהאפליקציה הייעודית העמוד של Sysinternal or https://live.sysinternals.com/sysmon.exe.

באמצעות מטלפן