Microsoft Sysmon теперь обнаруживает попытки вмешательства вредоносных программ

Microsoft выпустила Sysmon 13 с новой функцией безопасности, которая определяет, был ли процесс взломан с помощью методов обработки пустых процессов.
Microsoft Sysmon теперь обнаруживает попытки вмешательства вредоносных программ

Microsoft Sysmon теперь обнаруживает попытки вмешательства вредоносных программ в легальные процессы. Фото: Pixabay

Чтобы избежать обнаружения программным обеспечением безопасности, злоумышленники внедряют вредоносный код в процесс Windows. Эта тактика позволяет вредоносной программе работать, но в диспетчере задач она отображается как стандартный процесс Windows, работающий в фоновом режиме.

Пустой процесс — это когда вредоносная программа запускает легальный процесс в приостановленном состоянии и заменяет законный код в процессе вредоносным. Этот вредоносный код затем помогает получить доступ к компьютеру жертвы.

Process herpaderping - это более сложный  метод, при  котором вредоносная программа изменяет свой образ на диске, чтобы он выглядел как законное программное обеспечение после загрузки вредоносной программы. Когда программа безопасности сканирует файл на диске, она обнаруживает безопасный файл, а вредоносный код работает в памяти, сообщает BleepingComputer.

Многочисленные вредоносные программы используют методы подделки процессов, чтобы избежать обнаружения, в том числе программы— вымогатели Mailto / defray777 ,  TrickBot и  BazarBackdoor .

Как ранее сообщал Startpack, возможности Microsoft Defender for Endpoint для EDR теперь общедоступны на серверах Linux.

Startpack также подготовил список инструментов для защиты информации, её безопасной передачи и хранения на ваших устройствах.

Больше интересного

Актуальное

Возможности Microsoft Defender for Endpoint для EDR теперь общедоступны на серверах Linux
RedHat OpenShift теперь поддерживает контейнеры Windows и Linux
Cложные инструменты безопасности Google подвержены взлому
Ещё…