Η Microsoft κυκλοφόρησε μια έκδοση Linux, για το πολύ δημοφιλές βοηθητικό πρόγραμμα παρακολούθησης συστήματος Sysmon για Windows, επιτρέποντας στους διαχειριστές Linux να παρακολουθούν τις συσκευές τους για κακόβουλη δραστηριότητα.
Δείτε επίσης: Η Microsoft μετατρέπει το Windows Subsystem (Linux) σε Windows 11 app
Για όσους δεν είναι εξοικειωμένοι με το Sysmon (γνωστό και ως System Monitor), πρόκειται για ένα εργαλείο Sysinternals, που παρακολουθεί ένα σύστημα για κακόβουλη δραστηριότητα και στη συνέχεια καταγράφει τυχόν ύποπτη συμπεριφορά σε αρχεία καταγραφής συστήματος.
Η ευελιξία του Sysmon προέρχεται από τη δυνατότητα δημιουργίας προσαρμοσμένων αρχείων διαμόρφωσης, που μπορούν να χρησιμοποιήσουν οι διαχειριστές για την παρακολούθηση συγκεκριμένων συμβάντων συστήματος που ενδέχεται να υποδεικνύουν ότι συμβαίνει κακόβουλη δραστηριότητα στο σύστημα.
Νέο banking malware κλέβει credentials από 77 apps
Έφηβος χακάρει εταιρείες τηλεπικοινωνιών
DroidBot: Νέο Android banking malware κλέβει credentials
Σήμερα, ο Mark Russinovich της Microsoft και συνιδρυτής της βοηθητικής σουίτας Sysinternals, ανακοίνωσε ότι η Microsoft είχε κυκλοφορήσει την έκδοση Linux του Sysmοn, ως έργο ανοιχτού κώδικα στο GitHub.
Σε αντίθεση με το Sysmon για Windows, οι χρήστες Linux θα πρέπει να μεταγλωττίσουν οι ίδιοι το πρόγραμμα και να διασφαλίσουν ότι έχουν όλα τα απαιτούμενα εξαρτήματα, με οδηγίες που παρέχονται στη σελίδα GitHub του έργου.
Είναι σημαντικό να σημειωθεί ότι για να μεταγλωττίσετε το Sysmon, πρέπει πρώτα να εγκαταστήσετε επίσης το SysinternalsEBPF.
Δείτε ακόμα: Microsoft και Nvidia δημιούργησαν το πιο ισχυρό γλωσσικό μοντέλο στον κόσμο
Μόλις μεταγλωττιστεί το Sysmon, μπορείτε να δείτε ένα αρχείο βοήθειας, πληκτρολογώντας sudo ./sysmon –h.
Για να χρησιμοποιήσετε το πρόγραμμα, πρέπει πρώτα να αποδεχτείτε την άδεια χρήσης τελικού χρήστη με την ακόλουθη εντολή:
sudo ./sysmon -accepteula
Στη συνέχεια, μπορείτε να εκκινήσετε το Sysmon με ή χωρίς αρχείο διαμόρφωσης χρησιμοποιώντας μία από τις ακόλουθες εντολές:
Χωρίς αρχείο διαμόρφωσης:
sudo ./sysmοn -i
Με αρχείο διαμόρφωσης:
sudo ./sysmon -i CONFIG_FILE
Για να δημιουργήσετε το δικό σας αρχείο διαμόρφωσης Sysmon, θα πρέπει να χρησιμοποιήσετε την εντολή ./sysmοn –s, για να δείτε τη διαμόρφωση της τρέχουσας έκδοσης, αλλά και ποιες οδηγίες είναι διαθέσιμες.
Για να μάθετε περισσότερα σχετικά με τη δημιουργία ενός αρχείου διαμόρφωσης Sysmοn, μπορείτε να συμβουλευτείτε τις επίσημες οδηγίες ή να χρησιμοποιήσετε το πρότυπο SwiftOnSecurity ως παράδειγμα.
Μόλις ξεκινήσει, το Sysmon θα κάνει καταγραφή συμβάντων στο αρχείο/var/log/syslog. Εάν δεν καθορίσατε ένα αρχείο ρύθμισης παραμέτρων για να περιορίσετε αυτά που καταγράφει, θα διαπιστώσετε ότι το αρχείο syslog μεγαλώνει γρήγορα καθώς ξεκινούν και τερματίζονται οι νέες διαδικασίες.
Δείτε επίσης: FontOnLake malware: Στοχεύει Linux συστήματα μέσω trojanized utilities
Για να διευκολύνετε το φιλτράρισμα των αρχείων καταγραφής για συγκεκριμένα συμβάντα, μπορείτε να χρησιμοποιήσετε το βοηθητικό πρόγραμμα sysmonLogView για να εμφανίσετε τα συμβάντα που επιθυμείτε.
Το Sysmon είναι ένα ισχυρό εργαλείο που χρησιμοποιείται ευρέως σε περιβάλλοντα Windows ως μέρος της εργαλειοθήκης ασφαλείας ενός οργανισμού.
Με την προσθήκη του στο Linux, ένα εντελώς νέο τμήμα διαχειριστών συστήματος μπορεί να το χρησιμοποιήσει για να παρέχει δωρεάν παρακολούθηση συστήματος για κακόβουλες δραστηριότητες.