Нова версія Microsoft Sysmon 13 здатна виявляти шкідливий код
нова версія microsoft sysmon 13 може виявити шкідливий код
Microsoft випустила наступну версію своєї утиліти sysmon 13 , яка отримала нову функцію безпеки, яка виявляє втручання в процеси Windows за допомогою методів процесу видовбування і герпадерпінга процесів.
Щоб обійти виявлення за допомогою рішень безпеки, кіберзлочинці часто вводять свій шкідливий код у законні процеси Windows. Завдяки цьому шкідливе ПО зможе запускатися, але в диспетчері завдань будуть відображатися тільки законні процеси Windows, запущені у фоновому режимі.
Щоб втручатися в процеси Windows, шкідливе програмне забезпечення використовує методи спустошення процесів і герпадеринг процесів. Техніка порожнистого процесу полягає в наступному: шкідливе ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ запускає законний процес в призупиненому стані і замінює законний код в процесі шкідливим кодом. Потім шкідливе програмне забезпечення виконується процесом з привілеями, які має процес.
Техніка герпадерпінга процесу дещо складніша в порівнянні з процесом видовбування. Зловмисне програмне забезпечення змінює образ диска, щоб видати себе за законну програму. Коли антивірусне рішення сканує цей файл на диску, воно не виявить нічого небезпечного, але запустить шкідливе ПО в пам'яті.
Багато шкідливих програм використовують методи втручання, щоб обійти виявлення рішеннями безпеки. До них відносяться, серед інших, програми-вимагачі Mailto/defray777, TrickBot і BazarBackdoor.
Sysmon (Системний монітор) - це інструмент Sysinternals для моніторингу систем на предмет шкідливої активності і запису її в журнал подій Windows. У новій версії утиліти є функція виявлення вторгнень в процеси Windows.
