Microsoft je izdal Sysmon 13 za Windows 10 z zaznavanjem posegov v proces zlonamerne programske opreme

Microsoft je izdal novo različico orodja Sysinternals za Windows 10 Sysmon, ki zdaj ponuja možnost zaznavanja, kdaj hekerji vbrizgajo zlonamerno kodo v zakonit proces Windows, da bi zaobšli varnostne ukrepe.

Sysmon 13, ki vam omogoča spremljanje aktivnosti procesov v sistemu Windows 10, lahko zdaj zazna votli proces ali tehnike herpaderping procesov, ki običajno ne bi bile vidne v upravitelju opravil.

Proces votli je, ko zlonamerna programska oprema zažene zakonit proces v zaustavljenem stanju in nadomesti zakonito kodo v procesu z zlonamerno kodo. To zlonamerno kodo nato izvede proces s kakršnimi koli dovoljenji, ki so dodeljena procesu.

Proces herpaderping je tam, kjer zlonamerna programska oprema po naložitvi zlonamerne programske opreme spremeni svojo sliko na disku, da izgleda kot zakonita programska oprema. Ko varnostna programska oprema pregleda datoteko na disku, bo videla neškodljivo datoteko, medtem ko se zlonamerna koda izvaja v pomnilniku.

Tehnika aktivno uporablja znana zlonamerna programska oprema, vključno z ransomware Mailto/defray777, TrickBot in BazarBackdoor.

Če želite omogočiti zaznavanje poseganja v proces, morajo skrbniki v konfiguracijsko datoteko dodati konfiguracijsko možnost »ProcessTampering«. Prebral si dokumentacijo na spletnem mestu Sysinternals tukaj.

Omeniti je treba, da je BleepingComputer našel lažne pozitivne rezultate pri Chromu, Opera, Firefox, Fiddler, Microsoft Edge in različnih programih za namestitev.

Sysmon lahko prenesete iz namenskega Stran Sysinternal or https://live.sysinternals.com/sysmon.exe.

preko BleepingComputer