Microsoft rilascia Sysmon 11 per aiutare gli utenti a eseguire il backup dei dati eliminati
Microsoft ha rilasciato Sysmon 11 che consente agli utenti di monitorare e archiviare automaticamente i file eliminati su un dispositivo monitorato.
Per tua informazione, Sysmon è uno strumento sysinternals progettato per monitorare i sistemi per attività dannose e registrare tali eventi nel registro eventi di Windows. Tuttavia, gli utenti possono eliminare le attività dannose che si verificano sulla propria rete dopo essere state violate o eseguire la risposta agli incidenti e la scientifica forense in modo da sapere come è avvenuto un attacco.
Con la versione Sysmon 11, il sysmon può monitorare le eliminazioni dei file e può archiviare automaticamente i file quando vengono eliminati. Questo strumento aiuta anche nella risposta agli incidenti durante l’esecuzione di analisi forensi digitali o l’attenuazione delle violazioni della sicurezza.
Quando una rete viene violata, gli aggressori utilizzano una varietà di strumenti per diffondersi lateralmente attraverso la rete. Una volta ottenuto l’accesso, raccolgono dati preziosi e distribuiscono malware come ransomware. In tal caso, gli strumenti menzionati vengono automaticamente eliminati dagli aggressori, in modo che i soccorritori e i ricercatori non possano analizzarli per individuare eventuali punti deboli o scoprire come hanno violato la rete.
Con l’aggiunta della nuova funzione di monitoraggio e archiviazione della cancellazione dei file di Sysmon, ottenere l’accesso agli strumenti e agli eseguibili malware utilizzati in un attacco sarà molto più facile per i soccorritori. Questi file aiutano le ricerche a conoscere meglio le tattiche, le tecniche e le procedure degli attaccanti al fine di creare una migliore difesa.
Puoi scaricare Sysmon 11 dalla pagina sysmon di Sysinternal o da https://live.sysinternals.com/sysmon.exe. Dopo il download, è necessario eseguirlo da un prompt dei comandi con privilegi elevati poiché richiede i privilegi di amministrazione per il corretto funzionamento.
Per impostazione predefinita, Sysmon 11 può monitorare le informazioni di base come la creazione del processo e le modifiche al tempo dei file. Tuttavia, è possibile configurarlo per registrare molti altri eventi. Per utilizzare questa funzione, è necessario aggiungere le nuove opzioni di configurazione ArchiveDirectory e FileDeletion al nostro file di configurazione Sysmon. È possibile caricare il file di configurazione utilizzando il seguente comando:
sysmon -i sysmon.xml
/ DeletedFiles è il nome della cartella in cui è possibile visualizzare il monitoraggio dell’eliminazione dei file e l’archiviazione di tutti i file eliminati abilitati dal file di configurazione di base. Questa cartella memorizza anche una copia del file eliminato.
Utilizzare l’opzione onmatch = “exclude” per l’opzione FIleDeletion. Quando si avvia Sysmon con questa configurazione, inizierà a registrare gli eventi di eliminazione dei file in Registri applicazioni e servizi / Microsoft / Windows / Sysmon / Operativi nel Visualizzatore eventi.
Quando un file viene eliminato da C; / drive, verrà archiviato in C: / DeletedFiles denominato Sha1-hash.extension. Ad esempio, il file sopra è stato archiviato come C: \ DeletedFiles \ C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F.exe.
Questa directory è protetta con ACL di sistema e per accedervi gli utenti richiedono il download del programma psexec.exe e avviano un prompt cmd usando questo comando:
psexec -sid cmd
Dopo il suo download, diventa facile accedere ai file eliminati.
L’esempio sopra è solo un esempio per mostrare cosa può fare System Monitor. Per coloro che desiderano saperne di più su questo strumento, consultare la documentazione sul sito di Sysinternails.
