Microsoft publie Sysmon 11 pour aider les utilisateurs à sauvegarder les données supprimées

Microsoft a publié Sysmon 11 qui permet aux utilisateurs de surveiller et d’archiver automatiquement les fichiers supprimés sur un appareil surveillé.

Pour votre information, Sysmon est un outil sysinternals conçu pour surveiller les systèmes contre les activités malveillantes et enregistrer ces événements dans le journal des événements Windows. Bien que cela, les utilisateurs peuvent supprimer les activités malveillantes se produisant sur leur réseau après une violation ou pour effectuer une réponse aux incidents et une criminalistique numérique afin de savoir comment une attaque a eu lieu.

Avec la version Sysmon 11, le sysmon peut surveiller les suppressions de fichiers et peut archiver automatiquement les fichiers lorsqu’ils sont supprimés. Cet outil aide également à répondre aux incidents lors de la criminalistique numérique ou à l’atténuation des failles de sécurité.

Lorsqu’un réseau est piraté, les attaquants utilisent divers outils pour se propager latéralement sur le réseau. Une fois qu’ils y ont accès, ils collectent des données précieuses et déploient des logiciels malveillants tels que des ransomwares. Dans un tel cas, les outils mentionnés sont automatiquement supprimés par les attaquants afin que les intervenants et les chercheurs des incidents ne puissent pas les analyser pour détecter des faiblesses ou apprendre comment ils ont violé le réseau.

Avec l’ajout de la nouvelle fonction de surveillance et d’archivage de suppression de fichiers de Sysmon, l’accès aux outils et aux exécutables de logiciels malveillants utilisés dans une attaque sera beaucoup plus facile pour les intervenants en cas d’incident. Ces fichiers aident les recherches à en savoir plus sur les tactiques, les techniques et les procédures des attaquants afin de créer une meilleure défense.

Vous pouvez télécharger le Sysmon 11 depuis la page sysmon de Sysinternal ou depuis https://live.sysinternals.com/sysmon.exe. Après le téléchargement, vous devez l’exécuter à partir d’une invite de commandes élevée car il nécessite des privilèges d’administration pour un fonctionnement correct.

Par défaut, le Sysmon 11 peut surveiller les informations de base telles que la création de processus et les modifications d’heure de fichier. Mais, vous pouvez le configurer pour enregistrer de nombreux autres événements. Pour utiliser cette fonction, vous devez ajouter les nouvelles options de configuration ArchiveDirectory et FileDeletion à notre fichier de configuration Sysmon. Vous pouvez charger le fichier de configuration à l’aide de la commande suivante:

sysmon -i sysmon.xml

/ DeletedFiles est le nom du dossier dans lequel la surveillance de la suppression de fichiers et l’archivage de tous les fichiers supprimés activés par le fichier de configuration de base peuvent être vus. Ce dossier contient également une copie du fichier supprimé.

Utilisez l’option onmatch = “exclude” pour l’option FIleDeletion. Lorsque vous démarrez le Sysmon avec cette configuration, il commence à consigner les événements de suppression de fichiers dans les journaux des applications et des services / Microsoft / Windows / Sysmon / Operational dans l’observateur d’événements.

Lorsqu’un fichier est supprimé du lecteur C; /, il sera archivé dans les fichiers C: / DeletedFiles nommés Sha1-hash.extension. Par exemple, le fichier ci-dessus a été archivé sous le nom C: \ DeletedFiles \ C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F.exe.

Ce répertoire est protégé par System ACL et pour y accéder, les utilisateurs doivent télécharger le programme psexec.exe et lancer une invite cmd à l’aide de cette commande:

psexec -sid cmd

Après son téléchargement, il devient facile d’accéder aux fichiers supprimés.

L’exemple ci-dessus est juste un exemple pour montrer ce que le Moniteur système peut faire. Pour ceux qui souhaitent en savoir plus sur cet outil, reportez-vous à la documentation sur le site de Sysinternails.