Microsoft wypuszcza Sysmon 13 dla Windows 10 z wykrywaniem manipulacji przez złośliwe oprogramowanie

Ikona czasu czytania 2 minuta. czytać


Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków. Ikona podpowiedzi

Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej

drążący proces

Firma Microsoft wydała nową wersję narzędzia Sysmon dla systemu Windows 10 Sysinternals, które teraz umożliwia wykrywanie, kiedy hakerzy wstrzykują złośliwy kod do legalnego procesu systemu Windows, aby ominąć środki bezpieczeństwa.

Sysmon 13, który pozwala monitorować aktywność procesów systemu Windows 10, może teraz wykrywać zanikanie procesów lub techniki herpaderpingu, które normalnie nie byłyby widoczne w Menedżerze zadań.

Puszczanie procesów ma miejsce, gdy złośliwe oprogramowanie uruchamia legalny proces w stanie zawieszenia i zastępuje w nim legalny kod złośliwym kodem. Ten złośliwy kod jest następnie wykonywany przez proces, niezależnie od przydzielonych mu uprawnień.

Proces herpaderping polega na tym, że złośliwe oprogramowanie modyfikuje swój obraz na dysku, aby wyglądał jak legalne oprogramowanie po załadowaniu złośliwego oprogramowania. Gdy oprogramowanie zabezpieczające skanuje plik na dysku, widzi nieszkodliwy plik, podczas gdy złośliwy kod działa w pamięci.

Technika ta jest aktywnie wykorzystywana przez znane złośliwe oprogramowanie, w tym ransomware Mailto/defray777, TrickBot i BazarBackdoor.

Aby umożliwić wykrywanie manipulacji procesami, administratorzy muszą dodać opcję konfiguracyjną „ProcessTampering” do pliku konfiguracyjnego. Czytasz dokumentacja na stronie Sysinternals tutaj.

Warto zauważyć, że BleepingComputer znalazł fałszywe alarmy w przeglądarkach Chrome, Opera, Firefox, Fiddler, Microsoft Edge i różnych programach instalacyjnych.

Sysmon można pobrać z dedykowanego Strona Sysinternal or https://live.sysinternals.com/sysmon.exe.

przez BleepingComputer

Forum użytkowników

Wiadomości 0