Microsoft lança o Sysmon 11 para ajudar os usuários a fazer backup de dados excluídos

A Microsoft lançou o Sysmon 11, que permite aos usuários monitorar e arquivar automaticamente os arquivos excluídos em um dispositivo monitorado.

Para sua informação, o Sysmon é uma ferramenta sysinternals projetada para monitorar os sistemas quanto a atividades maliciosas e registrar esses eventos no log de eventos do Windows. Apesar disso, os usuários podem excluir atividades maliciosas que ocorrem em sua rede após a violação ou executar respostas forenses e análises forenses digitais para aprender como ocorreu um ataque.

Com o lançamento do Sysmon 11, o sysmon pode monitorar as exclusões de arquivos e arquivar automaticamente os arquivos quando eles são excluídos. Essa ferramenta também ajuda na resposta a incidentes ao executar análise forense digital ou mitigação de violações de segurança.

Quando uma rede é violada, os atacantes usam uma variedade de ferramentas para se espalhar lateralmente pela rede. Depois de obter acesso, eles coletam dados valiosos e implantam malware como ransomware. Nesse caso, essas ferramentas mencionadas são excluídas automaticamente pelos atacantes, para que os respondentes e os pesquisadores do incidente não possam analisá-los em busca de pontos fracos ou aprender como violaram a rede.

Com a adição do novo recurso de monitoramento e arquivamento de exclusão de arquivos da Sysmon, obter acesso às ferramentas e executáveis ​​de malware usados ​​em um ataque será muito mais fácil para os respondentes de incidentes. Esses arquivos ajudam as pesquisas a aprender mais sobre as táticas, técnicas e procedimentos dos atacantes, a fim de criar uma melhor defesa.

Você pode fazer o download do Sysmon 11 na página de sysmon da Sysinternal ou em https://live.sysinternals.com/sysmon.exe. Após o download, você deve executá-lo em um prompt de comando elevado, pois requer privilégios de administração para uma execução adequada.

Por padrão, o Sysmon 11 pode monitorar as informações básicas, como a criação do processo e as modificações no tempo do arquivo. Mas você pode configurá-lo para registrar muitos outros eventos. Para usar esse recurso, você precisa adicionar as novas opções de configuração ArchiveDirectory e FileDeletion ao nosso arquivo de configuração Sysmon. Você pode carregar o arquivo de configuração usando o seguinte comando:

sysmon -i sysmon.xml

/ DeletedFiles é o nome da pasta na qual o monitoramento de exclusão de arquivos e o arquivamento de todos os arquivos excluídos ativados pelo arquivo de configuração básica podem ser vistos. Esta pasta também armazena uma cópia do arquivo excluído.

Use a opção onmatch = “exclude” para a opção FIleDeletion. Ao iniciar o Sysmon com essa configuração, ele começará a registrar eventos de exclusão de arquivos em Logs de aplicativos e serviços / Microsoft / Windows / Sysmon / Operational no visualizador de eventos.

Quando um arquivo é excluído da unidade C; /, ele é arquivado nos C: / DeletedFiles nomeados como Sha1-hash.extension. Por exemplo, o arquivo acima foi arquivado como C: \ DeletedFiles \ C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F.exe.

Este diretório está protegido com a System ACL e, para acessá-lo, os usuários precisam baixar o programa psexec.exe e iniciar um prompt de cmd usando este comando:

psexec -sid cmd

Após o download, fica fácil o acesso aos arquivos excluídos.

O exemplo acima é apenas uma amostra para mostrar o que o System Monitor pode fazer. Para quem quiser saber mais sobre essa ferramenta, consulte a documentação no site da Sysinternails.