Microsoft, Sysmon 15'i yayınladı, korunan bir sürece dönüştürdü ve yürütülebilir dosyalar oluşturulduğunda günlüğe kaydedilecek yeni 'FileExecutableTetected' seçeneğini ekledi.
Sysmon'a (veya sistem monitörüne) aşina olmayanlar için, kötü niyetli/şüpheli etkinlikleri izleyip engelleyebilen ve Windows olay günlüğüne kaydedebilen ücretsiz bir Microsoft Sysinternals aracıdır.
Varsayılan olarak, Sysmon yeni süreç oluşturma ve süreçlerin sona ermesi gibi temel olayları izler. Ancak, dosya silme, Windows pano değişiklikleri gibi çeşitli davranışları izlemenize olanak tanıyan gelişmiş yapılandırma dosyaları oluşturmak ve dosyaların parçalanmasını algılamak ve engellemek mümkündür.
Kullanıcılar, Sysmon -s komutunu komut satırında çalıştırarak görüntülenebilen Sysmon şemasında direktiflerin tam listesini bulabilirler.
Dün Microsoft, iki yeni özellik içeren Sysmon 15.0'ı yayınladı - programın korunan bir sürece dönüştürerek sertleşmesi ve izlenen sistemde yürütülebilir dosyalar oluşturulduğunu tespit etme yeteneği.
Sysmon, kötü niyetli davranışları tespit etmek için yaygın olarak kullanıldığından, yazılımı kurcalamak veya devre dışı bırakmak için tehdit oyuncularının yararınadır.
Bu sürümle Microsoft, kötü amaçlı kodun sürece enjekte edilmesini önlemek için Sysmon.exe yürütülebilir dosyasını korunan bir sürece dönüştürdü.
"Windows 8.1'de, kötü amaçlı yazılım önleyici kullanıcı modu hizmetlerinin korunan bir hizmet olarak başlatılmasına izin vermek için yeni bir korumalı hizmet kavramı tanıtıldı."
"Hizmet korunan olarak başlatıldıktan sonra, Windows, yalnızca güvenilir kodun korunan hizmete yüklenmesine izin vermek için kod bütünlüğünü kullanır. Windows, bu işlemleri kod enjeksiyonundan ve diğer saldırılardan yönetici işlemlerinden korur."
Sysmon başlatıldıktan sonra, Process Gezgini kullanarak ve aşağıda gösterildiği gibi güvenlik özelliklerini inceleyerek korunan bir işlem olduğunu görebilirsiniz.
Process Explorer'a dayanarak, Sysmon bu makalede Elastik tarafından daha fazla açıklanan bir PPL süreci (Rotected_antimalware_light) olarak çalışıyor.
Sistem 15.0 ayrıca Sysmon şemasını, izlenen cihazda yürütülebilir dosyaların oluşturulmasını tespit etmek için 'FileExecutableTeted' Yapılandırma seçeneğini içeren sürüm 4.90'a yükseltiyor.
Örneğin, C: \ ProgramData \ ve C: \ Users \ klasörleri altında oluşturulan yeni yürütülebilir ürünleri algılamak için yeni FileExecutableTetated Directive'i kullanmak için aşağıdaki yapılandırma dosyasını kullanabilirsiniz:
Sysmon'u başlatmak ve yukarıdaki yapılandırma dosyasını kullanmak için yönlendirmek için Sysmon -i komutunu yürütür ve yapılandırma dosyasının adını geçersiniz.
Örneğimizde, yapılandırma dosyasının adı sysmon.conf'dır, bu nedenle Sysmon'u başlatmak için bir yönetim komut isteminden aşağıdaki komutu kullanırız:
Başladıktan sonra Sysmon sürücüsünü yükleyecek ve sessizce veri toplayacak.
Tüm Sysmon etkinlikleri, etkinlik görüntüleyicisinde 'Uygulamalar ve Hizmetler Günlükleri/Microsoft/Windows/Sysmon/Operasyonel' e kaydedilecektir.
FileExecutableTetected özelliği etkinleştirildiğinde, C: \ ProgramData veya C: \ Users \ klasörü (ve alt klasörlerinden herhangi biri) altında yeni bir yürütülebilir dosya oluşturulduğunda, Sysmon bir yürütülebilir dosyayı oluşturur ve bir kuralla eşleşir, Sysmon Dosya ve Oluşturun 29, Dosya Yürütülebilir Detiled 'Giriş Etkinlik Görüntüleyicisine Giriş.
Oluşturulan olay günlük girişleri, aşağıda açıklanan çok sayıda değerli bilgi içerecektir:
Bu yeni özelliği kullanmaya ilişkin daha fazla bilgi ve yaratıcı ipuçları için Olaf Hartong'un Sysmon'un bu yeni sürümünde mükemmel yazısını okumanız şiddetle tavsiye edilir.
Bilinen kötü amaçlı yazılım veya hack aracı yürütülebilir dosyalar oluşturulduğunda tespit etmek için bu özelliği kullanan önceden yapılmış bir Sysmon yapılandırma dosyası isteyenler için güvenlik araştırmacısı Florian Roth'un Sysmon Config'i kullanabilirsiniz.
Sysmon, kuruluşunuzun ihtiyaçlarını karşılayan yapılandırma dosyaları oluşturmanıza olanak tanıyan bir ton yönergeye sahip gelişmiş bir ağ izleme aracıdır.
Programın karmaşıklığı nedeniyle, Sysmon belgelerini okumanız ve çeşitli yönergelerin nasıl çalıştığını görmek için yapılandırma seçenekleriyle oynamanız şiddetle tavsiye edilir.
Ne yazık ki, Sysmon, kullanıcıların özellikleri test etmek için deneme yanılma yapmasını ve olay günlüğüne hangi olayların yazıldığını görmelerini gerektiren iyi belgelenmiş bir program değildir.
İyi haber şu ki, Sysmon yanlış yapılandırılmış bir yapılandırma dosyası yüklemeyecek, bu nedenle Sysmon'u yüklerken bir "yapılandırma dosyası doğrulanmış" mesajı görüyorsanız, en azından doğru yolda olduğunuzu bilirsiniz.
Olaf Hartong'un Sysmon hakkındaki blog yayınlarını da okumalısınız, çünkü yeni özellikleri yayınlandıkça belgeliyor.
Son olarak, yöneticiler, yöneticilerin kötü amaçlı yazılımları engellemek için nasıl kullanılabileceğini görmek için Florian Roth ve Swiftonsecurity'den hazır Sysmon yapılandırma dosyalarını kullanabilir veya okuyabilir.
Microsoft Haziran 2023 Patch Salı 78 Kusur, 38 RCE Bugs Düzeltiyor
Microsoft 2023'ün sonlarından itibaren Cortana'yı Windows'ta öldürüyor
Microsoft, Surface Dizüstü bilgisayarlarında çalışmayan kameralar için düzeltme paylaşıyor
Lazarus Hacker'ları ilk erişim için Windows IIS web sunucularını hedeflemek
Microsoft Mayıs 2023 Patch Salı 3 sıfır gün, 38 kusur düzeltiyor
Kaynak: Bleeping Computer