Microsoft, 맬웨어 프로세스 변조 감지 기능이 포함된 Windows 13용 Sysmon 10 출시
2 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
Microsoft는 이제 해커가 보안 조치를 우회하기 위해 합법적인 Windows 프로세스에 악성 코드를 삽입할 때 이를 감지하는 기능을 갖춘 Windows 10 Sysinternals 도구 Sysmon의 새 버전을 출시했습니다.
Windows 13 프로세스의 활동을 모니터링할 수 있는 Sysmon 10은 이제 일반적으로 작업 관리자에서 볼 수 없는 프로세스 할로잉 또는 프로세스 헤르패더핑 기술을 감지할 수 있습니다.
프로세스 할로잉은 악성코드가 일시 중단된 상태에서 합법적인 프로세스를 시작하고 해당 프로세스의 합법적인 코드를 악성 코드로 대체하는 것입니다. 이 악성 코드는 프로세스에 할당된 권한과 함께 프로세스에 의해 실행됩니다.
프로세스 헤르패더핑은 멀웨어가 로드된 후 멀웨어가 디스크의 이미지를 합법적인 소프트웨어처럼 보이도록 수정하는 것입니다. 보안 소프트웨어가 디스크에 있는 파일을 검사하면 악성 코드가 메모리에서 실행되는 동안 무해한 파일이 표시됩니다.
이 기술은 Mailto/defray777 랜섬웨어, TrickBot 및 BazarBackdoor를 포함한 알려진 악성코드에서 활발히 사용됩니다.
프로세스 변조 감지를 활성화하려면 관리자가 구성 파일에 'ProcessTampering' 구성 옵션을 추가해야 합니다. 당신은 읽었습니다 여기 Sysinternals 사이트의 문서.
BleepingComputer가 Chrome, Opera, Firefox, Fiddler, Microsoft Edge 및 다양한 설정 프로그램에서 오탐지를 발견한 것은 주목할 만합니다.
전용 사이트에서 Sysmon을 다운로드할 수 있습니다. Sysinternal의 페이지 or https://live.sysinternals.com/sysmon.exe.
를 통해 멍청한 컴퓨터
