Microsoft släpper Sysmon 13 för Windows 10 med upptäckt av skadlig programvara
2 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Microsoft har släppt en ny version av Windows 10 Sysinternals-verktyget Sysmon, som nu har möjligheten att upptäcka när hackare injicerar skadlig kod i en legitim Windows-process för att kringgå säkerhetsåtgärder.
Sysmon 13, som låter dig övervaka aktiviteten i Windows 10-processer, kan nu upptäcka process ihåliga eller processa herpaderping-tekniker som normalt inte skulle vara synliga i Aktivitetshanteraren.
Process ihåliga är när skadlig kod startar en legitim process i ett avstängt tillstånd och ersätter legitim kod i processen med skadlig kod. Denna skadliga kod exekveras sedan av processen, med de behörigheter som tilldelas processen.
Process herpaderping är där skadlig programvara ändrar sin bild på disken för att se ut som legitim programvara efter att skadlig programvara har laddats. När säkerhetsprogramvaran skannar filen på disken, kommer den att se en ofarlig fil medan den skadliga koden körs i minnet.
Tekniken används aktivt av känd skadlig programvara inklusive Mailto/defray777 ransomware, TrickBot och BazarBackdoor.
För att möjliggöra upptäckt av processmanipulering måste administratörer lägga till konfigurationsalternativet 'ProcessTampering' i en konfigurationsfil. Du läser dokumentation på Sysinternals webbplats här.
Det är anmärkningsvärt att BleepingComputer hittade falska positiva resultat med Chrome, Opera, Firefox, Fiddler, Microsoft Edge och olika installationsprogram.
Du kan ladda ner Sysmon från den dedikerade Sysinternals sida or https://live.sysinternals.com/sysmon.exe.
via BleepingComputer
