Microsoft выпустила новую версию своей утилиты Sysmon 13

Sysmon (System Monitor) представляет собой инструмент Sysinternals для мониторинга систем на предмет вредоносной активности и записи ее в журнал событий Windows. В новой версии утилиты появилась функция обнаружения вмешательств в процессы Windows.

1 мин
Автор PINTA IT
Microsoft выпустила новую версию своей утилиты Sysmon 13

​​Компания Microsoft выпустила очередную версию своей утилиты Sysmon 13 , получившую новую функцию безопасности, которая выявляет вмешательства в процессы Windows с использованием методов process hollowing и process herpaderping.

Для обхода обнаружения решениями безопасности киберпреступники часто внедряют свой вредоносный код в легитимные процессы Windows. Благодаря этому вредоносное ПО сможет выполняться, но при этом в менеджере задач будут отображаться только легитимные процессы Windows, работающие в фоновом режиме.

Для вмешательства в процессы Windows вредоносное ПО использует методы process hollowing и process herpaderping. Техника process hollowing заключается в следующем: вредоносное ПО запускает легитимный процесс в приостановленном состоянии и подменяет легитимный код в процессе вредоносным. Вредонос затем выполняется процессом с теми привилегиями, которые есть у данного процесса.

Техника process herpaderping несколько сложнее по сравнению с process hollowing. Вредоносное ПО модифицирует свой образ на диске, чтобы выдать себя за легитимную программу. Когда антивирусное решение просканирует этот файл на диске, оно не обнаружит ничего опасного, но при этом в памяти будет запускаться вредоносное ПО.

Многие вредоносные программы используют техники вмешательства в процесс для обхода обнаружения решениями безопасности. К таковым в частности относятся вымогательское ПО Mailto/defray777, TrickBot и BazarBackdoor.

Microsoft принудительная установка обновлений безопасности исправляющая уязвимость Zerologon
Zerologon представляет собой критическую уязвимость ( CVE-2020-1472 ), получившую максимальные 10 баллов по шкале оценивания опасности уязвимостей CVSS. С ее помощью злоумышленники могут повысить привилегии до администратора домена и захватить контроль над доменом.