Microsoft เปิดตัว Sysmon 13 สำหรับ Windows 10 พร้อมการตรวจจับการปลอมแปลงกระบวนการมัลแวร์

Microsoft ได้เปิดตัวเครื่องมือ Sysinternals สำหรับ Windows 10 เวอร์ชันใหม่อย่าง Sysmon ซึ่งขณะนี้มีคุณสมบัติในการตรวจจับเมื่อแฮกเกอร์ใส่โค้ดที่เป็นอันตรายลงในกระบวนการ Windows ที่ถูกต้องเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัย

Sysmon 13 ที่ให้คุณตรวจสอบกิจกรรมของกระบวนการ Windows 10 ได้ในขณะนี้ สามารถตรวจจับกระบวนการกลวงหรือเทคนิคการประมวลผลแบบ Herpaderping ซึ่งปกติจะไม่ปรากฏในตัวจัดการงาน

การเจาะระบบคือเมื่อมัลแวร์เปิดกระบวนการที่ถูกต้องตามกฎหมายในสถานะถูกระงับ และแทนที่โค้ดที่ถูกต้องในกระบวนการด้วยโค้ดที่เป็นอันตราย โค้ดที่เป็นอันตรายนี้จะถูกดำเนินการโดยกระบวนการ โดยมีสิทธิ์ใดๆ ก็ตามที่ได้รับมอบหมายให้กับกระบวนการ

กระบวนการ herpaderping เป็นที่ที่มัลแวร์แก้ไขรูปภาพบนดิสก์ให้ดูเหมือนซอฟต์แวร์ที่ถูกต้องหลังจากโหลดมัลแวร์แล้ว เมื่อซอฟต์แวร์ความปลอดภัยสแกนไฟล์บนดิสก์ จะเห็นไฟล์ที่ไม่เป็นอันตรายในขณะที่โค้ดที่เป็นอันตรายทำงานในหน่วยความจำ

เทคนิคนี้มีการใช้งานโดยมัลแวร์ที่รู้จัก รวมทั้งแรนซัมแวร์ Mailto/defray777, TrickBot และ BazarBackdoor

ในการเปิดใช้งานการตรวจจับการปลอมแปลงกระบวนการ ผู้ดูแลระบบจำเป็นต้องเพิ่มตัวเลือกการกำหนดค่า 'ProcessTampering' ลงในไฟล์การกำหนดค่า คุณอ่าน เอกสารเกี่ยวกับไซต์ของ Sysinternals ที่นี่.

เป็นที่น่าสังเกตว่า BleepingComputer พบผลบวกปลอมกับ Chrome, Opera, Firefox, Fiddler, Microsoft Edge และโปรแกรมติดตั้งต่างๆ

คุณสามารถดาวน์โหลด Sysmon จากทุ่มเท เพจ Sysinternal or https://live.sysinternals.com/sysmon.exe.

ผ่านทาง BleepingComputer