Microsoft lanserer Sysmon 13 for Windows 10 med gjenkjenning av skadelig programvare

Microsoft har gitt ut en ny versjon av Windows 10 Sysinternals-verktøyet Sysmon, som nå har muligheten til å oppdage når hackere injiserer ondsinnet kode i en legitim Windows-prosess for å omgå sikkerhetstiltak.

Sysmon 13, som lar deg overvåke aktiviteten til Windows 10-prosesser, kan nå oppdage prosessuthuling eller behandle herpaderping-teknikker som normalt ikke vil være synlige i Task Manager.

Prosessuthuling er når skadelig programvare starter en legitim prosess i suspendert tilstand og erstatter legitim kode i prosessen med ondsinnet kode. Denne ondsinnede koden blir deretter utført av prosessen, med de tillatelsene som er tildelt prosessen.

Process herpaderping er der skadelig programvare endrer bildet på disken til å se ut som legitim programvare etter at skadelig programvare er lastet inn. Når sikkerhetsprogramvare skanner filen på disken, vil den se en ufarlig fil mens den skadelige koden kjører i minnet.

Teknikken er i aktiv bruk av kjent skadelig programvare inkludert Mailto/defray777 ransomware, TrickBot og BazarBackdoor.

For å aktivere gjenkjenning av prosessmanipulering, må administratorer legge til "ProcessTampering"-konfigurasjonsalternativet i en konfigurasjonsfil. Du leser dokumentasjon på Sysinternals sin side her.

Det er bemerkelsesverdig at BleepingComputer fant falske positiver med Chrome, Opera, Firefox, Fiddler, Microsoft Edge og forskjellige oppsettprogrammer.

Du kan laste ned Sysmon fra den dedikerte Sysinternals side or https://live.sysinternals.com/sysmon.exe.

av BleepingComputer