Microsoft เพิ่มความสามารถให้ Sysmon 13 สามารถตรวจจับการแก้ไขโปรเซสของมัลแวร์ได้

เครื่องมือช่วยติดตามระบบของ Microsoft อย่าง System Monitor หรือ Sysmon เวอร์ชันล่าสุดได้ถูกอัปเกรตความสามารถให้ตรวจจับมัลแวร์ที่ใช้เทคนิคการแก้ไขโปรเซสเพื่อหลีกเลี่ยงการตรวจจับได้

credit : Zdnet

Sysmon คือเครื่องมือระดับแอดมินที่ใช้เพื่อนำมาตรวจพฤติกรรมผิดปกติและเก็บ Log พฤติกรรมไว้ใน Windows Event โดยผู้สนใจสามารถดาวน์โหลดกันได้ที่ https://live.sysinternals.com/sysmon.exe

อย่างไรก็ดีในเวอร์ชันล่าสุดได้มีฟีเจอร์ใหม่ที่ออกมาเพื่อต่อกรกับมัลแวร์ที่ใช้เทคนิคขั้นสูงในการแก้ไขโปรเซส เพื่อหลีกเลี่ยงการตรวจจับคือ Process Hollowing (รันโปรเซสปกติในสถานะ Suspend และแทนที่ด้วยโค้ดอันตราย) และ Process Herpaderping (แก้ไขอิมเมจบนดิสก์ให้ดูเหมือนซอฟต์แวร์ปกติหลังจากโหลดมัลแวร์แล้ว) ผู้สนใจศึกษาเพิ่มเติมได้ที่ https://jxy-s.github.io/herpaderping/

สำหรับการเปิดใช้งานฟีเจอร์ใหม่แอดมินจะต้องเพิ่มการตั้งค่า ‘ProcessTampering’ ในไฟล์ตั้งค่า ซึ่งจะมีการเพิ่ม Sysmon 4.50 Schema เข้ามา หลังจากนั้นก็รันด้วยคำสั่ง ‘Sysmon -i sysmon.conf’ หากพบอีเว้นต์ของมัลแวร์จะปรากฎรูปตามภาพด้านบน

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-now-detects-malware-process-tampering-attempts/ และ https://www.zdnet.com/article/microsoft-sysmon-adds-support-for-detecting-process-herpaderping-attacks/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ