Търсене
Close this search box.

Microsoft Sysmon вече открива кога се създават изпълними файлове

Microsoft пусна Sysmon 15, като го превърна в защитен процес и добави новата опция „FileExecutableDetected“ за регистриране на създаването на изпълними файлове.

За тези, които не са запознати със Sysmon (или System Monitor), това е безплатен инструмент на Microsoft Sysinternals, който може да следи и блокира злонамерена/подозрителна дейност и да регистрира събития в дневника на събитията на Windows.

По подразбиране Sysmon следи основни събития, като създаване на нови процеси и прекратяване на процеси. Възможно е обаче да се създадат разширени конфигурационни файлове, които ви позволяват да наблюдавате различни поведения, като например изтриване на файлове, промени в клипборда на Windows и откриване и блокиране на унищожаването на файлове.

Потребителите могат да намерят пълния списък на директивите в схемата на Sysmon, която може да се види, като се изпълни командата sysmon -s от командния ред.

Вчера Microsoft пусна на пазара Sysmon 15.0, който включва две нови функции – втвърдяване на програмата чрез превръщането й в защитен процес и възможност за откриване при създаване на изпълними файлове в наблюдаваната система.

Sysmon вече е защитен процес

Тъй като Sysmon обикновено се използва за откриване на злонамерено поведение, в интерес на участниците в заплахите е да подправят или деактивират софтуера.

С тази версия Microsoft преобразува изпълнимия файл Sysmon.exe в защитен процес, за да предотврати инжектирането на зловреден код в процеса.

„В Windows 8.1 е въведена нова концепция за защитена услуга, която позволява услугите за борба със зловреден софтуер в потребителски режим да се стартират като защитена услуга“, се обяснява в статия на Microsoft за тази функция.

„След като услугата бъде стартирана като защитена, Windows използва целостта на кода, за да позволи само на доверен код да се зареди в защитената услуга. Windows също така защитава тези процеси от инжектиране на код и други атаки от администраторски процеси.“

След като Sysmon е стартиран, можете да видите, че той е защитен процес, като използвате Process Explorer и разгледате неговите свойства за сигурност, както е показано по-долу.

Научете повече за Sysmon

Sysmon е усъвършенстван инструмент за наблюдение на мрежата с множество директиви, които ви позволяват да създавате конфигурационни файлове, отговарящи на нуждите на вашата организация.

Поради сложността на програмата е силно препоръчително да прочетете документацията на Sysmon и да си поиграете с опциите за конфигуриране, за да видите как работят различните директиви.

За съжаление Sysmon не е добре документирана програма, което налага потребителите да провеждат опити и грешки, за да тестват функциите и да видят какви събития се записват в дневника на събитията.

Добрата новина е, че Sysmon няма да зареди неправилно конфигуриран конфигурационен файл, така че ако при зареждането на Sysmon видите съобщение „Configuration file validated“ (Конфигурационният файл е валидиран), знайте, че поне сте на прав път.

Трябва да четете и публикациите в блога на Olaf Hartong за Sysmon, тъй като той документира новите функции в момента на пускането им.

И накрая, администраторите могат да използват или да прочетат предварително подготвените конфигурационни файлове на Sysmon от Florian Roth и SwiftOnSecurity, за да видят как могат да се използват директивите за блокиране на зловреден софтуер.

Източник: По материали от Интернет

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
24/02/2024

Ефективното реагиране при и...

Според изследователски доклад на Dark Reading...
23/02/2024

Новата ера в хактивизма

През последните две години наблюдаваме значително...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!