На этой неделе пользователи Microsoft Sysmon получат новое обновление в рамках расширенного выпуска пакета Sysinternals. В частности, утилита получает возможность обнаруживать атаки Process Hollowing и Process Herpaderping.
Если вы не знакомы с Sysinternals, это набор приложений для администраторов, который позволяет им отлаживать машины Windows. Кроме того, пользователи могут использовать этот инструмент для поиска и расследования атак вредоносного ПО.
Microsoft Sysmon (системный монитор) — один из инструментов Sysinternals, объединяющий более 160 других приложений. Это, пожалуй, самое популярное приложение в наборе, которое регистрирует события системного уровня на компьютере с Windows.
Эти события регистрируются в обычном журнале событий Windows. Например, он может регистрировать сетевые подключения, изменения в файлах и новые процессы. Многие службы безопасности используют Sysmon как часть своего арсенала по снижению угроз, поэтому добавление двух новых возможностей является важным обновлением.
В частности, Sysmon теперь может обнаруживать две атаки на процессы (Hollowing и Herpaderping), которые предназначены для того, чтобы избежать обнаружения.
Теперь доступно
Новые инструменты являются частью Microsoft Sysmon 13.00. При обнаружении атаки Hollowing или Herpaderping инструмент теперь регистрирует эту атаку вредоносного ПО. Обе атаки процессов зарегистрированы под «EventID 25» в системном журнале.
Скоро: Sysmon обнаруживает фальсификацию образа процесса. Здесь сообщается о процессе долбления и герпадерпинга: pic.twitter.com/mIAaVITQA2
— Марк Руссинович (@markrussinovich) 17 ноября 2020 г.
Process Herpaderping — это новый метод, направленный на предотвращение обнаружения. Он может скрыть и скрыть истинные намерения процесса, изменив содержимое на диске. Это происходит, когда изображение было сопоставлено.
В недавнем твите Марк Руссинович из Microsoft просмотрел оба журнала Sysmon с предупреждением журнала EventID 25. Этот твит появился в ноябре прошлого года в качестве тизера, но сейчас Microsoft внедряет возможность Sysmon 13.00 в Sysinternals.
Совет дня:
Знаете ли вы встроенные инструменты восстановления SFC и DISM в Windows 10? При многих проблемах они могут вернуть вас в нужное русло без потери данных и использования сторонних программ. В нашем уроке мы покажем вам, как их использовать.
