Microsoft випустила Sysmon 13 для Windows 10 з виявленням злоякісного процесу

Microsoft випустила нову версію інструменту Sysinternals для Windows 10 Sysmon, який тепер має можливість виявляти, коли хакери вводять шкідливий код у законний процес Windows, щоб обійти заходи безпеки.

Sysmon 13, який дає змогу відстежувати активність процесів Windows 10, тепер може виявляти поглиблення процесів або прийоми герпадерпінгу, які зазвичай не відображаються в диспетчері завдань.

Поглинання процесу – це коли шкідливе програмне забезпечення запускає законний процес у призупиненому стані та замінює законний код у процесі шкідливим кодом. Цей шкідливий код потім виконується процесом з будь-якими дозволами, призначеними процесу.

Процес герпадерпінгу – це коли зловмисне програмне забезпечення змінює своє зображення на диску, щоб воно виглядало як законне програмне забезпечення після завантаження зловмисного програмного забезпечення. Коли програмне забезпечення безпеки сканує файл на диску, воно побачить нешкідливий файл, поки шкідливий код працює в пам’яті.

Ця техніка активно використовується відомими зловмисними програмами, включаючи Mailto/defray777 ransomware, TrickBot і BazarBackdoor.

Щоб увімкнути виявлення порушення процесу, адміністраторам необхідно додати параметр конфігурації «ProcessTampering» до файлу конфігурації. Ви читаєте документація на сайті Sysinternals тут.

Примітно, що BleepingComputer виявив помилкові спрацьовування з Chrome, Opera, Firefox, Fiddler, Microsoft Edge та різними програмами налаштування.

Ви можете завантажити Sysmon зі спеціального сайту Сторінка Sysinternal or https://live.sysinternals.com/sysmon.exe.

через BleepingComputer