Microsoft lanza Sysmon 11 para ayudar a los usuarios a realizar copias de seguridad de los datos eliminados

Microsoft ha lanzado Sysmon 11 que permite a los usuarios monitorear y archivar automáticamente los archivos eliminados en un dispositivo monitoreado.

Para su información, Sysmon es una herramienta sysinternals que está diseñada para monitorear los sistemas en busca de actividad maliciosa y registrar esos eventos en el registro de eventos de Windows. A pesar de esto, los usuarios pueden eliminar la actividad maliciosa que ocurre en su red después de una violación o realizar una respuesta a incidentes y análisis forense digital para aprender cómo se produjo un ataque.

Con la versión Sysmon 11, el sistema puede controlar las eliminaciones de archivos y puede archivar automáticamente los archivos cuando se eliminan. Esta herramienta también ayuda en la respuesta a incidentes cuando se realizan análisis forenses digitales o se mitigan las infracciones de seguridad.

Cuando una red se rompe, los atacantes usan una variedad de herramientas para propagarse lateralmente a través de la red. Una vez que obtienen acceso, obtienen datos valiosos e implementan malware como el ransomware. En tal caso, las herramientas mencionadas son eliminadas automáticamente por los atacantes para que los respondedores de incidentes y los investigadores no puedan analizarlas en busca de debilidades o aprender cómo violaron la red.

Con la adición de la nueva función de monitoreo y archivo de eliminación de archivos de Sysmon, obtener acceso a las herramientas y los ejecutables de malware utilizados en un ataque será mucho más fácil para los respondedores de incidentes. Estos archivos ayudan a las investigaciones a aprender más sobre las tácticas, técnicas y procedimientos de los atacantes para crear una mejor defensa.

Puede descargar Sysmon 11 desde la página de sysmon de Sysinternal o desde https://live.sysinternals.com/sysmon.exe. Después de la descarga, debe ejecutarlo desde un símbolo del sistema elevado ya que requiere privilegios de administración para su correcto funcionamiento.

Por defecto, el Sysmon 11 puede monitorear la información básica como la creación de procesos y las modificaciones de tiempo de archivo. Pero puede configurarlo para registrar muchos otros eventos. Para usar esta función, debe agregar las nuevas opciones de configuración ArchiveDirectory y FileDeletion a nuestro archivo de configuración de Sysmon. Puede cargar el archivo de configuración con el siguiente comando:

sysmon -i sysmon.xml

/ DeletedFiles es el nombre de la carpeta en la que se puede ver el monitoreo de eliminación de archivos y el archivo de todos los archivos eliminados habilitados por el archivo de configuración básica. Esta carpeta también almacena una copia del archivo eliminado.

Use la opción onmatch = “exclude” para la opción FIleDeletion. Al iniciar Sysmon con esta configuración, comenzará a registrar eventos de eliminación de archivos en Registros de aplicaciones y servicios / Microsoft / Windows / Sysmon / Operational en el visor de eventos.

Cuando se elimina un archivo de la unidad C; /, se archivará en C: / DeletedFiles llamado Sha1-hash.extension. Por ejemplo, el archivo anterior se archivó como C: \ DeletedFiles \ C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F.exe.

Este directorio está protegido con ACL del sistema y para acceder a él, los usuarios deben descargar el programa psexec.exe e iniciar un indicador de cmd con este comando:

psexec -sid cmd

Después de su descarga, se vuelve fácil acceder a los archivos eliminados.

El ejemplo anterior es solo una muestra para mostrar lo que puede hacer el Monitor del sistema. Para aquellos que quieran aprender más sobre esta herramienta, consulte la documentación en el sitio de Sysinternails.