Microsoft, Windows 13 için Sysmon 10'ü kötü amaçlı yazılım işlemi kurcalama algılamasıyla piyasaya sürdü
2 dk. okuman
Yayınlandı
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
Microsoft, Windows 10 Sysinternals aracı Sysmon'un, artık bilgisayar korsanlarının güvenlik önlemlerini atlamak için meşru bir Windows işlemine ne zaman kötü amaçlı kod enjekte ettiğini algılama özelliğine sahip yeni bir sürümünü yayınladı.
Windows 13 işlemlerinin etkinliğini izlemenizi sağlayan Sysmon 10, artık normalde Görev Yöneticisi'nde görünmeyecek olan işlem boşluklarını veya işlem herpaderping tekniklerini algılayabilir.
İşlem boşluğu, kötü amaçlı yazılımın askıya alınmış bir durumda meşru bir işlem başlatması ve işlemdeki meşru kodu kötü amaçlı kodla değiştirmesidir. Bu kötü amaçlı kod, daha sonra, işleme atanan izinler ne olursa olsun, işlem tarafından yürütülür.
Process herpaderping, kötü amaçlı yazılım yüklendikten sonra kötü amaçlı yazılımın diskteki görüntüsünü yasal yazılım gibi görünecek şekilde değiştirdiği yerdir. Güvenlik yazılımı disk üzerindeki dosyayı taradığında, kötü amaçlı kod bellekte çalışırken zararsız bir dosya görür.
Teknik, Mailto/defray777 fidye yazılımı, TrickBot ve BazarBackdoor dahil olmak üzere bilinen kötü amaçlı yazılımlar tarafından aktif olarak kullanılmaktadır.
Süreç kurcalama algılamasını etkinleştirmek için yöneticilerin bir yapılandırma dosyasına 'ProcessTampering' yapılandırma seçeneğini eklemesi gerekir. okudun Sysinternals'ın sitesindeki belgeler burada.
BleepingComputer'ın Chrome, Opera, Firefox, Fiddler, Microsoft Edge ve çeşitli kurulum programları ile yanlış pozitifler bulması dikkat çekicidir.
Sysmon'u özel olarak indirebilirsiniz. Sysinternal'ın sayfası or https://live.sysinternals.com/sysmon.exe.
üzerinden BleepingComputer
Kullanıcı forumu
0 mesajları