Spoločnosť Microsoft vydala Sysmon 13 pre Windows 10 s detekciou narušenia procesu malvéru

Spoločnosť Microsoft vydala novú verziu nástroja Sysinternals systému Windows 10 Sysmon, ktorý teraz ponúka možnosť zistiť, kedy hackeri vložia škodlivý kód do legitímneho procesu Windows, aby obišli bezpečnostné opatrenia.

Sysmon 13, ktorý vám umožňuje monitorovať aktivitu procesov Windowsu 10, teraz dokáže rozpoznať techniky dutého procesu alebo proces herpaderping, ktoré by za normálnych okolností v Správcovi úloh neboli viditeľné.

Process hollowing je, keď malvér spustí legitímny proces v pozastavenom stave a nahradí legitímny kód v procese škodlivým kódom. Tento škodlivý kód potom proces spustí s akýmikoľvek povoleniami, ktoré sú procesu priradené.

Proces herpaderping je miesto, kde malvér po načítaní malvéru upraví svoj obraz na disku tak, aby vyzeral ako legitímny softvér. Keď bezpečnostný softvér skontroluje súbor na disku, uvidí počas behu škodlivého kódu v pamäti neškodný súbor.

Túto techniku ​​aktívne používa známy malvér vrátane ransomvéru Mailto/defray777, TrickBot a BazarBackdoor.

Ak chcete povoliť detekciu manipulácie s procesom, správcovia musia do konfiguračného súboru pridať možnosť konfigurácie „ProcessTampering“. Prečítali ste si dokumentáciu na stránke Sysinternals tu.

Je pozoruhodné, že BleepingComputer našiel falošné poplachy v prehliadačoch Chrome, Opera, Firefox, Fiddler, Microsoft Edge a rôznych inštalačných programoch.

Sysmon si môžete stiahnuť z dedikovaného Stránka Sysinternal or https://live.sysinternals.com/sysmon.exe.

via BleepingComputer