Microsoft Sysmon现在可以检测到恶意软件过程篡改尝试

Windows工具

Microsoft已发布具有新安全性功能的Sysmon 13,该功能可检测是否使用进程挖空或进程Herpaderping技术篡改了进程。

为了逃避安全软件的检测,威胁行动者将恶意代码注入到合法的Windows进程中。该策略允许恶意软件执行,但是在任务管理器中,它显示为在后台运行的标准Windows进程。

进程挖空是指恶意软件在挂起状态下启动合法进程并用恶意代码替换进程中的合法代码。然后,该恶意代码由进程执行,并为该进程分配任何权限。

Process herpaderping是一种更高级的技术 ,其中,恶意软件在加载恶意软件后会将 其在磁盘上的映像修改为合法软件。当安全软件扫描磁盘文件时,当恶意代码在内存中运行时,它将看到无害的文件。

许多恶意软件感染都使用过程篡改技术来逃避检测,包括 Mailto / defray777勒索软件,  TrickBot和 BazarBackdoor

在Sysmon v13中启用进程篡改

要启用进程篡改检测功能,管理员需要在配置文件中添加“ ProcessTampering”配置选项。Sysmon将仅监视基本事件,例如流程创建和文件时间更改,而无需配置文件。

此新指令已添加到Sysmon 4.50模式中,可以通过运行sysmon -s 命令来查看。

对于将启用进程篡改检测的非常基本的设置,可以使用以下配置文件:


<Sysmon schemaversion="4.50">
  <EventFiltering>
    <RuleGroup name="" groupRelation="or">
      <ProcessTampering onmatch="exclude">
      </ProcessTampering>
    </RuleGroup>
  </EventFiltering>
</Sysmon>

要启动Sysmon并将其定向为使用上述配置文件,您将执行sysmon -i并传递配置文件的名称。在我们的示例中,配置文件的名称为sysmon.conf,因此我们将使用以下命令。

sysmon -i sysmon.conf

启动后,Sysmon将安装其驱动程序并开始在后台安静地收集数据。

所有Sysmon事件都将在事件查看器中记录到“应用程序和服务日志/ Microsoft / Windows / Sysmon / Operational ”中。

启用ProcessTampering功能后,当检测到进程空心化或进程Herpaderping时,Sysmon将在事件查看器中生成“事件25-进程篡改”条目。例如,当使用此过程挖空测试来测试此功能时,可以在下面的事件中看到svchost.exe受到了影响。

事件25-篡改流程
事件25-篡改流程

BleepingComputer在测试此功能时,经常检测到与Chrome,Opera,Firefox,Fiddler,Microsoft Edge和各种安装程序相关的无害可执行文件。

Chrome进程篡改误报
Chrome进程篡改误报

不幸的是,由BleepingComputer使用最新的TrickBot和BazarLoader进行的其他测试无法触发事件。

了解有关Sysmon的更多信息

对于那些想了解更多有关Sysmon的人,强烈建议您阅读Sysinternals网站上的文档,并试用各种配置选项。

没有更好的方法来学习如何使用此程序,然后通过创建配置文件并查看将哪些事件写入事件日志中。

通过输入sysmon.exe -s all命令,用户可以获得有关Sysmon中使用的各种指令的更多信息。

如果要使用旨在监视恶意流量和威胁的预制Sysmon配置文件,则可以使用SwiftOnSecurity的Sysmon配置文件。

*编译:Domino

*来自:bleepingcomputer