MS Sysmon agora detecta processos de adulteração de malware
A gigante da tecnologia chamada Microsoft lançou o Sysmon 1.3 e adicionou um novo recurso a ele. De acordo com os relatórios, o recurso pode detectar se um processo foi adulterado usando técnicas de esvaziamento de processo ou herpaderping de processo.
Para evitar a detecção por aplicativos de segurança, os desenvolvedores de malware usam para injetar código malicioso no processo legítimo do Windows. Por meio dessa tática, o malware pode ser executado, mas o processo aparece como um processo em execução do Windows em segundo plano no Gerenciador de Tarefas.
Falando em esvaziamento de processo, é uma técnica em que um malware inicia um processo legítimo que aparece como um suspenso e substitui o código legítimo por seus próprios códigos maliciosos. E o código é executado em segundo plano com as permissões atribuídas ao processo original.
Enquanto o processo Herpaderping é um método mais avançado em que o malware altera sua imagem no disco infectado e aparece como um aplicativo legítimo, o malware seguinte é carregado. Quando o aplicativo de segurança verifica os arquivos no disco, ele não percebe nenhum arquivo prejudicial enquanto o código malicioso continua em execução no sistema.
Além disso, muitas das identidades de malware utilizam a técnica de adulteração de processos para evitar sua detecção. Alguns dos malwares são Mailto / defray777 ransomware, TrackBot e BazarBackdoor.
Como habilitar a adulteração de processos no Sysmon v1.3
Se você é um daqueles que ainda não conhece o aplicativo Sysmon ou System Monitor no Windows, deve saber que é uma ferramenta Sysinternals projetada para monitorar o sistema em busca de processos maliciosos. Além disso, ele também registra esses processos no log de eventos do Windows.
Pode-se baixar o aplicativo da página oficial do Sysinternal ou http://live.sysinternals.com/sysmon.exe.
Para habilitar o recurso de detecção de violação de processo, os usuários de PC ou administradores precisam adicionar a opção de configuração ‘Violação de processo’ a um arquivo de configuração. Lembre-se de que o Sysmon apenas monitora eventos básicos, como criação de processos e alterações de tempo de arquivo, sem um arquivo de configuração.
Uma nova diretiva também foi adicionada ao esquema Sysmon 4.50 que pode ser visualizada executando o comando sysmon -S.
Uma vez que pode usar o seguinte arquivo de configuração para uma configuração muito básica que permitirá a detecção de violação do processo.
<Sysmon schemaversion = "4.50"> <EventFiltering> <RuleGroup name = "" groupRelation = "ou"> <ProcessTampering onmatch = "exclude"> </ProcessTampering> </RuleGroup> </EventFiltering> </Sysmon>
Para iniciar o Sysmon e instruí-lo a usar o arquivo de configuração acima, os usuários devem executar o sysmon -i e passar o nome do arquivo de configuração. Para uma instância, digite “sysmon -i sysmon.conf”, onde sysmon.conf é o nome do arquivo de configuração.
Assim que o Sysmon iniciar, irá instalar seu driver e iniciar a coleta de dados silenciosamente em segundo plano.
Todos os eventos Sysmon serão registrados em ‘Logs de aplicativos e serviços / Microsoft / Windows / Sysmon / Operacional’ no Visualizador de eventos.
Se o recurso de violação de processo estiver ativado, sempre que o esvaziamento do processo ou a manipulação do processo for detectada, o Sysmon irá gerar uma entrada ‘Evento 25 – Violação do processo’ no Visualizador de eventos.
Com base em alguns testes, o recurso detectou vários executáveis inofensivos relacionados ao Chrome, Opera, Firefox, Fiddler, MS Edhe e vários programas de configuração.
No entanto, o recurso infelizmente não acionou eventos no caso do TrickBot e do BazarLoader mais recentes.