微軟發(fā)布了帶有惡意程序進程篡改檢測的Sysmon 13 for Windows 10

微軟發(fā)布了新版Windows10SysInternals工具Sysmon，(微軟Sysinternals Suite中文綠色版工具下載)該工具現(xiàn)在具備了檢測黑客何時將惡意代碼注入合法Windows進程以繞過安全措施的能力。

sysmon13可以監(jiān)視windows10進程的活動，現(xiàn)在可以檢測進程空心化或進程herpaderping技術，這些技術通常在任務管理器中不可見。

進程空心化是指惡意軟件啟動處于掛起狀態(tài)的合法進程，并用惡意代碼替換進程中的合法代碼。然后，該惡意代碼將由進程執(zhí)行，無論分配給該進程的權限是什么。

進程herpaderping是惡意軟件在加載惡意軟件后修改其在磁盤上的圖像，使其看起來像合法軟件。當安全軟件掃描磁盤文件時，當惡意代碼在內(nèi)存中運行時，它會看到一個無害的文件。

已知惡意軟件(包括Mailto/defray777勒索軟件、TrickBot和BazarBackdoor)正在積極使用該技術。

要啟用進程篡改檢測，管理員需要向配置文件添加“processtamping”配置選項。你看了這里是Sysinternals網(wǎng)站上的文檔 .

值得注意的是，BleepingComputer在Chrome、Opera、Firefox、Fiddler、microsoftedge和各種安裝程序中發(fā)現(xiàn)了誤報。