вредоносное ПО Sysmon Windows Microsoft
Новая версия Sysmon 13 способна выявлять вредоносный код, использующий методы обхода решений безопасности.
Компания Microsoft выпустила очередную версию своей утилиты Sysmon 13 , получившую новую функцию безопасности, которая выявляет вмешательства в процессы Windows с использованием методов process hollowing и process herpaderping.
Для обхода обнаружения решениями безопасности киберпреступники часто внедряют свой вредоносный код в легитимные процессы Windows. Благодаря этому вредоносное ПО сможет выполняться, но при этом в менеджере задач будут отображаться только легитимные процессы Windows, работающие в фоновом режиме.
Для вмешательства в процессы Windows вредоносное ПО использует методы process hollowing и process herpaderping. Техника process hollowing заключается в следующем: вредоносное ПО запускает легитимный процесс в приостановленном состоянии и подменяет легитимный код в процессе вредоносным. Вредонос затем выполняется процессом с теми привилегиями, которые есть у данного процесса.
Техника process herpaderping несколько сложнее по сравнению с process hollowing. Вредоносное ПО модифицирует свой образ на диске, чтобы выдать себя за легитимную программу. Когда антивирусное решение просканирует этот файл на диске, оно не обнаружит ничего опасного, но при этом в памяти будет запускаться вредоносное ПО.
Многие вредоносные программы используют техники вмешательства в процесс для обхода обнаружения решениями безопасности. К таковым в частности относятся вымогательское ПО Mailto/defray777, TrickBot и BazarBackdoor.
Sysmon (System Monitor) представляет собой инструмент Sysinternals для мониторинга систем на предмет вредоносной активности и записи ее в журнал событий Windows. В новой версии утилиты появилась функция обнаружения вмешательств в процессы Windows.
Источник: