Najnowszy Sysmon 14.0 firmy Microsoft może pomóc w blokowaniu niebezpiecznego złośliwego oprogramowania i nie tylko

Microsoft wydał wczoraj pakiet Sysinternals Suite 2022.08.16. Nowa wersja zawiera Sysmon v14.0, AccessEnum v1.34 i Coreinfo v3.53. Szczegóły tutaj. Najnowsza wersja Sysmon dodała nową funkcję, która może blokować procesy przed tworzeniem EXE lub podobnych plików wykonywalnych.

Informacje o wydaniu Sysmon v14.0 mówią:

Ta ważna aktualizacja Sysmon, zaawansowanego narzędzia do monitorowania hostów, dodaje nowy typ zdarzenia, FileBlockExecutable, który uniemożliwia procesom tworzenie plików wykonywalnych w określonych lokalizacjach. Zawiera również kilka ulepszeń wydajności i poprawek błędów.

Opiekun repozytorium Sysmon GitHub, Olaf Hartong, wyjaśnił, że taka funkcja może pomóc w zapobieganiu tworzeniu złośliwych plików lub ładowaniu wtórnych szkodliwych ładunków za pośrednictwem dropperów, takich jak te używane w makrach. On mówi:

Sysmon zapobiega teraz zapisywaniu plików wykonywalnych w systemie plików na podstawie nagłówka pliku, zgodnie z kryteriami filtrowania. Może to być bardzo potężna funkcja blokująca pewne programy przed zapisywaniem szkodliwych plików na dysku.

Podano również demo z prostym przykładem, aby pokazać, jak to działa. W tym przypadku Sysmon został użyty do blokowania pobierania:

Jak widać na poniższym obrazku, pobieranie wszystkich plików PE nie powiodło się z powodu zablokowania ich przez Sysmon:

Więcej informacji na temat artykułu Olafa Hartonga znajdziesz tutaj .