Microsoft пусна Sysmon 15, като го превърна в защитен процес и добави новата опция „FileExecutableDetected“ за регистриране на създаването на изпълними файлове.
За тези, които не са запознати със Sysmon (или System Monitor), това е безплатен инструмент на Microsoft Sysinternals, който може да следи и блокира злонамерена/подозрителна дейност и да регистрира събития в дневника на събитията на Windows.
По подразбиране Sysmon следи основни събития, като създаване на нови процеси и прекратяване на процеси. Възможно е обаче да се създадат разширени конфигурационни файлове, които ви позволяват да наблюдавате различни поведения, като например изтриване на файлове, промени в клипборда на Windows и откриване и блокиране на унищожаването на файлове.
Потребителите могат да намерят пълния списък на директивите в схемата на Sysmon, която може да се види, като се изпълни командата sysmon -s от командния ред.
Вчера Microsoft пусна на пазара Sysmon 15.0, който включва две нови функции – втвърдяване на програмата чрез превръщането й в защитен процес и възможност за откриване при създаване на изпълними файлове в наблюдаваната система.
Тъй като Sysmon обикновено се използва за откриване на злонамерено поведение, в интерес на участниците в заплахите е да подправят или деактивират софтуера.
С тази версия Microsoft преобразува изпълнимия файл Sysmon.exe в защитен процес, за да предотврати инжектирането на зловреден код в процеса.
„В Windows 8.1 е въведена нова концепция за защитена услуга, която позволява услугите за борба със зловреден софтуер в потребителски режим да се стартират като защитена услуга“, се обяснява в статия на Microsoft за тази функция.
„След като услугата бъде стартирана като защитена, Windows използва целостта на кода, за да позволи само на доверен код да се зареди в защитената услуга. Windows също така защитава тези процеси от инжектиране на код и други атаки от администраторски процеси.“
След като Sysmon е стартиран, можете да видите, че той е защитен процес, като използвате Process Explorer и разгледате неговите свойства за сигурност, както е показано по-долу.
Sysmon е усъвършенстван инструмент за наблюдение на мрежата с множество директиви, които ви позволяват да създавате конфигурационни файлове, отговарящи на нуждите на вашата организация.
Поради сложността на програмата е силно препоръчително да прочетете документацията на Sysmon и да си поиграете с опциите за конфигуриране, за да видите как работят различните директиви.
За съжаление Sysmon не е добре документирана програма, което налага потребителите да провеждат опити и грешки, за да тестват функциите и да видят какви събития се записват в дневника на събитията.
Добрата новина е, че Sysmon няма да зареди неправилно конфигуриран конфигурационен файл, така че ако при зареждането на Sysmon видите съобщение „Configuration file validated“ (Конфигурационният файл е валидиран), знайте, че поне сте на прав път.
Трябва да четете и публикациите в блога на Olaf Hartong за Sysmon, тъй като той документира новите функции в момента на пускането им.
И накрая, администраторите могат да използват или да прочетат предварително подготвените конфигурационни файлове на Sysmon от Florian Roth и SwiftOnSecurity, за да видят как могат да се използват директивите за блокиране на зловреден софтуер.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
