Microsoft выпускает Sysmon 13 для Windows 10 с обнаружением подделки вредоносного процесса

Microsoft выпустила новую версию инструмента Sysmon для Windows 10 Sysinternals, который теперь имеет возможность обнаруживать, когда хакеры внедряют вредоносный код в законный процесс Windows, чтобы обойти меры безопасности.

Sysmon 13, который позволяет вам отслеживать активность процессов Windows 10, теперь может обнаруживать методы опустошения процессов или обработки процессов, которые обычно не видны в диспетчере задач.

Опустошение процессов — это когда вредоносное ПО запускает законный процесс в приостановленном состоянии и заменяет законный код в процессе вредоносным кодом. Этот вредоносный код затем выполняется процессом с любыми разрешениями, назначенными процессу.

Процесс Herpaderping — это когда вредоносное ПО изменяет свой образ на диске, чтобы он выглядел как легитимное программное обеспечение после загрузки вредоносного ПО. Когда программное обеспечение безопасности сканирует файл на диске, оно увидит безвредный файл, в то время как вредоносный код будет выполняться в памяти.

Этот метод активно используется известными вредоносными программами, включая программы-вымогатели Mailto/defray777, TrickBot и BazarBackdoor.

Чтобы включить обнаружение вмешательства в процесс, администраторам необходимо добавить параметр конфигурации ProcessTampering в файл конфигурации. Вы читаете документация на сайте Sysinternals здесь.

Примечательно, что BleepingComputer обнаружил ложные срабатывания с Chrome, Opera, Firefox, Fiddler, Microsoft Edge и различными программами установки.

Вы можете скачать Sysmon со специального Страница Sysinternal or https://live.sysinternals.com/sysmon.exe.

с помощью BleepingComputer