Microsoft Sysmon теперь обнаруживает попытки вмешательства вредоносных программ
Microsoft Sysmon теперь обнаруживает попытки вмешательства вредоносных программ в легальные процессы. Фото: Pixabay
Чтобы избежать обнаружения программным обеспечением безопасности, злоумышленники внедряют вредоносный код в процесс Windows. Эта тактика позволяет вредоносной программе работать, но в диспетчере задач она отображается как стандартный процесс Windows, работающий в фоновом режиме.
Пустой процесс — это когда вредоносная программа запускает легальный процесс в приостановленном состоянии и заменяет законный код в процессе вредоносным. Этот вредоносный код затем помогает получить доступ к компьютеру жертвы.
- Читайте в тему:
- Cложные инструменты безопасности Google подвержены взлому
- Беспрецедентное мошенничество в онлайн банках раскрыли исследователи
- RedHat приобретает компанию по обеспечению безопасности контейнеров StackRox
Process herpaderping - это более сложный метод, при котором вредоносная программа изменяет свой образ на диске, чтобы он выглядел как законное программное обеспечение после загрузки вредоносной программы. Когда программа безопасности сканирует файл на диске, она обнаруживает безопасный файл, а вредоносный код работает в памяти, сообщает BleepingComputer.
Многочисленные вредоносные программы используют методы подделки процессов, чтобы избежать обнаружения, в том числе программы— вымогатели Mailto / defray777 , TrickBot и BazarBackdoor .
Как ранее сообщал Startpack, возможности Microsoft Defender for Endpoint для EDR теперь общедоступны на серверах Linux.
Startpack также подготовил список инструментов для защиты информации, её безопасной передачи и хранения на ваших устройствах.
Комментариев пока не было