Microsoft Sysmon

jbex

El que peca y reza empata
Administrador
Microsoft Sysmon ahora detecta intentos de manipulación de procesos de malware

Qué es Microsoft Sysmon​

Sysmon es una de las herramientas avanzadas imprescindibles para todos aquellos usuarios que quieran tener control absoluto sobre el sistema. Una vez instalada esta herramienta, Sysmon se encarga automáticamente de registrar todos los eventos y toda la actividad del sistema. Este software que configura como un servicio y queda en ejecución durante los reinicios del sistema para poder conocer al detalle qué ocurre mientras arranca Windows, trabajamos con él o lo apagamos.

Esta herramienta nos brinda información detallada sobre todos los procesos que se crean, las conexiones de red que se establecen y los cambios que se realicen al crear archivos. De esta manera, es posible detectar, con relativa facilidad, todo tipo de actividad sospechosa, o no autorizada, que pueda ser un peligro para el ordenador, como el malware.

Y ahora, con la nueva versión 13 de Sysmon, va a ser posible hasta detectar el malware más complejo.

Para evadir la detección por parte del software de seguridad, los malwares inyectan código malicioso en un proceso legítimo de Windows. Esta táctica permite que el malware se ejecute, pero en el Administrador de tareas, aparece como un proceso estándar de Windows que se ejecuta en segundo plano.

El vaciado de procesos ocurre cuando el malware inicia un proceso legítimo en un estado suspendido y reemplaza el código legítimo en el proceso con código malicioso. Luego, el proceso ejecuta este código malicioso, con los permisos asignados al proceso.

Sin duda, la principal novedad de la nueva versión 13 de esta herramienta es la posibilidad de detectar los procesos que han sido manipulados para intentar engañar a los antivirus o a otros software de seguridad. Cuando un malware se aprovecha del Process Tampering, generalmente queda oculto dentro de un proceso que, aparentemente, es de fiar. Y como muchos de los programas de seguridad tienen estos procesos en la lista blanca, pasan desapercibidos. Incluso si abrimos el administrador de tareas, no seremos capaces de identificarlo.

Habilitar la manipulación de procesos en Sysmon v13​

Si no está familiarizado con Sysmon o System Monitor, es una herramienta de Sysinternals que está diseñada para monitorear sistemas en busca de actividad maliciosa y registrar esos eventos en el registro de eventos de Windows.

Puede descargar Sysmon desde la página dedicada de Sysinternal o https://live.sysinternals.com/sysmon.exe .

Para habilitar la función de detección de manipulación de procesos, los administradores deben agregar la opción de configuración ProcessTampering a un archivo de configuración. Sysmon solo monitoreará eventos básicos como la creación de procesos y cambios de tiempo de archivo sin un archivo de configuración.

Esta nueva directiva se ha agregado al esquema Sysmon 4.50, que se puede ver ejecutando el sysmon -scomando.

Para una configuración muy básica que permitirá la detección de manipulación del proceso, puede usar el archivo de configuración a continuación:
Código:
<Sysmon schemaversion="4.50">
  <EventFiltering>
    <RuleGroup name="" groupRelation="or">
      <ProcessTampering onmatch="exclude">
      </ProcessTampering>
    </RuleGroup>
  </EventFiltering>
</Sysmon>

Para iniciar Sysmon y ordenarle que use el archivo de configuración anterior, debe ejecutar sysmon -i y pasar el nombre del archivo de configuración. En nuestro ejemplo, el nombre del archivo de configuración es sysmon.conf, por lo que usaríamos el siguiente comando.

sysmon -i sysmon.conf

Una vez iniciado, Sysmon instalará su controlador y comenzará a recopilar datos silenciosamente en segundo plano. Cuando algo intente controlar un proceso y sea sospechoso se generará un Event 25 dentro del Visor de Sucesos de Windows, el cual nos indicará que ha habido una alteración de proceso.

Desde Bleepingcomputer han puesto a prueba esta nueva función para ver si realmente sirve para detectar malware. Los expertos han bajado y ejecutado, en entornos controlados, versiones del malware TrickBot y BazarLoader.

Y, por desgracia, Sysmon no ha sido capaz de detectar las alteraciones de los procesos que realizan estos malwares. A Microsoft le queda afinar más esta herramienta para que realmente pueda ser útil.
 
Buscar...
Arriba Pie