Microsoft เพิ่มความสามารถให้ Sysmon 13 สามารถตรวจจับการแก้ไขโปรเซสของมัลแวร์ได้

เครื่องมือช่วยติดตามระบบของ Microsoft อย่าง System Monitor หรือ Sysmon เวอร์ชันล่าสุดได้ถูกอัปเกรตความสามารถให้ตรวจจับมัลแวร์ที่ใช้เทคนิคการแก้ไขโปรเซสเพื่อหลีกเลี่ยงการตรวจจับได้

credit : Zdnet

Sysmon คือเครื่องมือระดับแอดมินที่ใช้เพื่อนำมาตรวจพฤติกรรมผิดปกติและเก็บ Log พฤติกรรมไว้ใน Windows Event โดยผู้สนใจสามารถดาวน์โหลดกันได้ที่ https://live.sysinternals.com/sysmon.exe

อย่างไรก็ดีในเวอร์ชันล่าสุดได้มีฟีเจอร์ใหม่ที่ออกมาเพื่อต่อกรกับมัลแวร์ที่ใช้เทคนิคขั้นสูงในการแก้ไขโปรเซส เพื่อหลีกเลี่ยงการตรวจจับคือ Process Hollowing (รันโปรเซสปกติในสถานะ Suspend และแทนที่ด้วยโค้ดอันตราย) และ Process Herpaderping (แก้ไขอิมเมจบนดิสก์ให้ดูเหมือนซอฟต์แวร์ปกติหลังจากโหลดมัลแวร์แล้ว) ผู้สนใจศึกษาเพิ่มเติมได้ที่ https://jxy-s.github.io/herpaderping/

สำหรับการเปิดใช้งานฟีเจอร์ใหม่แอดมินจะต้องเพิ่มการตั้งค่า ‘ProcessTampering’ ในไฟล์ตั้งค่า ซึ่งจะมีการเพิ่ม Sysmon 4.50 Schema เข้ามา หลังจากนั้นก็รันด้วยคำสั่ง ‘Sysmon -i sysmon.conf’ หากพบอีเว้นต์ของมัลแวร์จะปรากฎรูปตามภาพด้านบน

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-now-detects-malware-process-tampering-attempts/ และ https://www.zdnet.com/article/microsoft-sysmon-adds-support-for-detecting-process-herpaderping-attacks/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud เพิ่ม BigQuery datasets บน Marketplace แล้ว

Google Cloud ประกาศเปิดให้ผู้ใช้งานสามารถเข้าถึงชุดข้อมูล BigQuery datasets ผ่าน Google Cloud Marketplace ด้วยการผสานการทำงานร่วมกับ BigQuery Analytics Hub เพื่อเพิ่มช่องทางการเข้าถึงข้อมูลสำหรับองค์กร

Goldman Sachs คาดการณ์การใช้พลังงานของศูนย์ข้อมูลจะเพิ่มขึ้นกว่า 2 เท่าภายในปี 2030 เหตุจาก AI

การแข่งขันด้าน AI ส่งผลให้ความต้องการใช้พลังงานในศูนย์ข้อมูลทั่วโลกพุ่งสูงขึ้นอย่างมาก โดย Goldman Sachs คาดว่าจะเพิ่มขึ้นจาก 55 GW เป็น 122 GW ภายในปี 2030