Microsoft пусна Sysmon 15, като го превърна в защитен процес и добави новата опция „FileExecutableDetected“ за регистриране на създаването на изпълними файлове.

За тези, които не са запознати със Sysmon (или System Monitor), това е безплатен инструмент на Microsoft Sysinternals, който може да следи и блокира злонамерена/подозрителна дейност и да регистрира събития в дневника на събитията на Windows.

По подразбиране Sysmon следи основни събития, като създаване на нови процеси и прекратяване на процеси. Възможно е обаче да се създадат разширени конфигурационни файлове, които ви позволяват да наблюдавате различни поведения, като например изтриване на файлове, промени в клипборда на Windows и откриване и блокиране на унищожаването на файлове.

Потребителите могат да намерят пълния списък на директивите в схемата на Sysmon, която може да се види, като се изпълни командата sysmon -s от командния ред.

Вчера Microsoft пусна на пазара Sysmon 15.0, който включва две нови функции – втвърдяване на програмата чрез превръщането й в защитен процес и възможност за откриване при създаване на изпълними файлове в наблюдаваната система.

Sysmon вече е защитен процес

Тъй като Sysmon обикновено се използва за откриване на злонамерено поведение, в интерес на участниците в заплахите е да подправят или деактивират софтуера.

С тази версия Microsoft преобразува изпълнимия файл Sysmon.exe в защитен процес, за да предотврати инжектирането на зловреден код в процеса.

„В Windows 8.1 е въведена нова концепция за защитена услуга, която позволява услугите за борба със зловреден софтуер в потребителски режим да се стартират като защитена услуга“, се обяснява в статия на Microsoft за тази функция.

„След като услугата бъде стартирана като защитена, Windows използва целостта на кода, за да позволи само на доверен код да се зареди в защитената услуга. Windows също така защитава тези процеси от инжектиране на код и други атаки от администраторски процеси.“

След като Sysmon е стартиран, можете да видите, че той е защитен процес, като използвате Process Explorer и разгледате неговите свойства за сигурност, както е показано по-долу.

Научете повече за Sysmon

Sysmon е усъвършенстван инструмент за наблюдение на мрежата с множество директиви, които ви позволяват да създавате конфигурационни файлове, отговарящи на нуждите на вашата организация.

Поради сложността на програмата е силно препоръчително да прочетете документацията на Sysmon и да си поиграете с опциите за конфигуриране, за да видите как работят различните директиви.

За съжаление Sysmon не е добре документирана програма, което налага потребителите да провеждат опити и грешки, за да тестват функциите и да видят какви събития се записват в дневника на събитията.

Добрата новина е, че Sysmon няма да зареди неправилно конфигуриран конфигурационен файл, така че ако при зареждането на Sysmon видите съобщение „Configuration file validated“ (Конфигурационният файл е валидиран), знайте, че поне сте на прав път.

Трябва да четете и публикациите в блога на Olaf Hartong за Sysmon, тъй като той документира новите функции в момента на пускането им.

И накрая, администраторите могат да използват или да прочетат предварително подготвените конфигурационни файлове на Sysmon от Florian Roth и SwiftOnSecurity, за да видят как могат да се използват директивите за блокиране на зловреден софтуер.