TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เครื่องมือช่วยติดตามระบบของ Microsoft อย่าง System Monitor หรือ Sysmon เวอร์ชันล่าสุดได้ถูกอัปเกรตความสามารถให้ตรวจจับมัลแวร์ที่ใช้เทคนิคการแก้ไขโปรเซสเพื่อหลีกเลี่ยงการตรวจจับได้
Sysmon คือเครื่องมือระดับแอดมินที่ใช้เพื่อนำมาตรวจพฤติกรรมผิดปกติและเก็บ Log พฤติกรรมไว้ใน Windows Event โดยผู้สนใจสามารถดาวน์โหลดกันได้ที่ https://live.sysinternals.com/sysmon.exe
อย่างไรก็ดีในเวอร์ชันล่าสุดได้มีฟีเจอร์ใหม่ที่ออกมาเพื่อต่อกรกับมัลแวร์ที่ใช้เทคนิคขั้นสูงในการแก้ไขโปรเซส เพื่อหลีกเลี่ยงการตรวจจับคือ Process Hollowing (รันโปรเซสปกติในสถานะ Suspend และแทนที่ด้วยโค้ดอันตราย) และ Process Herpaderping (แก้ไขอิมเมจบนดิสก์ให้ดูเหมือนซอฟต์แวร์ปกติหลังจากโหลดมัลแวร์แล้ว) ผู้สนใจศึกษาเพิ่มเติมได้ที่ https://jxy-s.github.io/herpaderping/
สำหรับการเปิดใช้งานฟีเจอร์ใหม่แอดมินจะต้องเพิ่มการตั้งค่า ‘ProcessTampering’ ในไฟล์ตั้งค่า ซึ่งจะมีการเพิ่ม Sysmon 4.50 Schema เข้ามา หลังจากนั้นก็รันด้วยคำสั่ง ‘Sysmon -i sysmon.conf’ หากพบอีเว้นต์ของมัลแวร์จะปรากฎรูปตามภาพด้านบน
ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-now-detects-malware-process-tampering-attempts/ และ https://www.zdnet.com/article/microsoft-sysmon-adds-support-for-detecting-process-herpaderping-attacks/
