マイクロソフトは、マルウェアプロセスの改ざん検出を備えたWindows13用のSysmon10をリリースします
2分。 読んだ
上で公開
この記事を共有する
このガイドを改善する
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
マイクロソフトは、Windows 10 SysinternalsツールSysmonの新しいバージョンをリリースしました。このツールは、ハッカーが正当なWindowsプロセスに悪意のあるコードを挿入してセキュリティ対策を回避するタイミングを検出する機能を備えています。
Windows13プロセスのアクティビティを監視できるSysmon10は、通常はタスクマネージャーに表示されないプロセスの空洞化またはプロセスのハーパダーピング手法を検出できるようになりました。
プロセスの空洞化とは、マルウェアが正当なプロセスを一時停止状態で起動し、プロセス内の正当なコードを悪意のあるコードに置き換えることです。 この悪意のあるコードは、プロセスに割り当てられている権限を使用して、プロセスによって実行されます。
プロセスherpaderpingは、マルウェアがロードされた後、マルウェアがディスク上のイメージを正規のソフトウェアのように変更する場所です。 セキュリティソフトウェアがディスク上のファイルをスキャンすると、悪意のあるコードがメモリ内で実行されている間、無害なファイルが表示されます。
この手法は、Mailto / defray777ランサムウェア、TrickBot、BazarBackdoorなどの既知のマルウェアによって積極的に使用されています。
プロセス改ざん検出を有効にするには、管理者は「ProcessTampering」構成オプションを構成ファイルに追加する必要があります。 あなたは Sysinternalsのサイトのドキュメントはこちら.
BleepingComputerが、Chrome、Opera、Firefox、Fiddler、Microsoft Edge、およびさまざまなセットアッププログラムで誤検知を検出したことは注目に値します。
専用からSysmonをダウンロードできます Sysinternalのページ or https://live.sysinternals.com/sysmon.exe.
