微軟發(fā)布了帶有惡意程序進(jìn)程篡改檢測的Sysmon 13 for Windows 10

微軟發(fā)布了新版Windows10SysInternals工具Sysmon，(微軟Sysinternals Suite中文綠色版工具下載)該工具現(xiàn)在具備了檢測黑客何時將惡意代碼注入合法Windows進(jìn)程以繞過安全措施的能力。

sysmon13可以監(jiān)視windows10進(jìn)程的活動，現(xiàn)在可以檢測進(jìn)程空心化或進(jìn)程herpaderping技術(shù)，這些技術(shù)通常在任務(wù)管理器中不可見。

進(jìn)程空心化是指惡意軟件啟動處于掛起狀態(tài)的合法進(jìn)程，并用惡意代碼替換進(jìn)程中的合法代碼。然后，該惡意代碼將由進(jìn)程執(zhí)行，無論分配給該進(jìn)程的權(quán)限是什么。

進(jìn)程herpaderping是惡意軟件在加載惡意軟件后修改其在磁盤上的圖像，使其看起來像合法軟件。當(dāng)安全軟件掃描磁盤文件時，當(dāng)惡意代碼在內(nèi)存中運(yùn)行時，它會看到一個無害的文件。

已知惡意軟件(包括Mailto/defray777勒索軟件、TrickBot和BazarBackdoor)正在積極使用該技術(shù)。

要啟用進(jìn)程篡改檢測，管理員需要向配置文件添加“processtamping”配置選項。你看了這里是Sysinternals網(wǎng)站上的文檔 .

值得注意的是，BleepingComputer在Chrome、Opera、Firefox、Fiddler、microsoftedge和各種安裝程序中發(fā)現(xiàn)了誤報。