Το Sysmon 13, που κυκλοφόρησε από την Microsoft διαθέτει μια νέα δυνατότητα ασφαλείας που ανιχνεύει εάν μια διαδικασία έχει επηρεαστεί από malware.
Μία από τις τεχνικές που ακολουθούν οι hackers, είναι να εισάγουν κακόβουλο κώδικα σε μια νόμιμη διαδικασία των Windows, ώστε να αποφεύγουν την ανίχνευση. Αυτή η τακτική επιτρέπει στο malware να εκτελεστεί, αλλά ο Task Manager το εντοπίζει ως μια τυπική διαδικασία των Windows που εκτελείται στο παρασκήνιο.
Η τεχνική Hollowing, ξεκινά με μια νόμιμη διαδικασία σε κατάσταση αναστολής, που στη συνέχεια αντικαθιστά τον νόμιμο κώδικα με κακόβουλο. Αυτός ο κακόβουλος κώδικας στη συνέχεια εκτελείται από τη διαδικασία, με οποιαδήποτε δικαιώματα εκχωρούνται στη διαδικασία.
Η διαδικασία herpaderping είναι μια πιο προηγμένη τεχνική, όπου το κακόβουλο λογισμικό τροποποιεί την εικόνα του στο δίσκο ώστε να μοιάζει με νόμιμο λογισμικό, μετά τη φόρτωση του κακόβουλου λογισμικού. Όταν το λογισμικό ασφαλείας σαρώνει το αρχείο στο δίσκο, θα δει ένα ακίνδυνο αρχείο ενώ ο κακόβουλος κώδικας εκτελείται στη μνήμη.
Πολλά από τα γνωστά malware χρησιμοποιούν παρόμοιες τεχνικές για να αποφύγουν την ανίχνευση, συμπεριλαμβανομένων των Mailto / defray777 ransomware, TrickBot και BazarBackdoor.
Εάν δεν είστε εξοικειωμένοι με το Sysmon ή το System Monitor, πρόκειται για ένα εργαλείο της Sysinternals που έχει σχεδιαστεί για την παρακολούθηση συστημάτων κακόβουλης δραστηριότητας και την καταγραφή αυτών των συμβάντων στο αρχείο καταγραφής συμβάντων των Windows.
Μπορείτε να κατεβάσετε το Sysmon από τη σελίδα του Sysinternal ή https://live.sysinternals.com/sysmon.exe.
Για να ενεργοποιηθεί η δυνατότητα εντοπισμού παραβίασης, οι διαχειριστές πρέπει να προσθέσουν την επιλογή διαμόρφωσης «ProcessTampering» σε ένα αρχείο διαμόρφωσης. Το Sysmon θα παρακολουθεί απλώς τα βασικά συμβάντα, όπως η δημιουργία διεργασιών και οι αλλαγές του χρόνου αρχείου χωρίς αρχείο διαμόρφωσης.
Αυτή η νέα οδηγία έχει προστεθεί στο Sysmοn 4.50, το οποίο μπορεί να προβληθεί εκτελώντας την εντολή sysmon -s.
Μόλις ξεκινήσει, το πρόγραμμα θα εγκαταστήσει το driver και θα αρχίσει να συλλέγει δεδομένα αθόρυβα στο παρασκήνιο.
Όλα τα συμβάντα του Sysmon θα καταγραφούν στο «Applications and Services Logs/Microsoft/Windows/Sysmon/Operational» στο Event Viewer.
Με ενεργοποιημένη τη δυνατότητα ProcessTampering, όταν εντοπίζεται διαδικασία Hollowing ή διεργασία herpaderping, το Sysmon θα δημιουργήσει μια καταχώριση «Event 25 – Process Tampering» στο Event Viewer.
Για να μάθετε περισσότερα για το Sysmon, επισκεφτείτε τον ιστότοπο του Sysinternals και δοκιμάστε τις διάφορες επιλογές διαμόρφωσης που προσφέρει.
