Microsoft a publié Sysmon 13 avec une nouvelle fonctionnalité de sécurité qui détecte si un processus a été falsifié en utilisant des techniques de processus de creux ou d’herpaderping.

Pour échapper à la détection par les logiciels de sécurité, les auteurs de menaces injectent un code malveillant dans un processus Windows légitime. Cette tactique permet au malware de s’exécuter, mais dans le Gestionnaire des tâches, il apparaît comme un processus Windows standard s’exécutant en arrière-plan.

Le vidage de processus se produit lorsque le logiciel malveillant lance un processus légitime dans un état suspendu et remplace le code légitime dans le processus par un code malveillant. Ce code malveillant est ensuite exécuté par le processus, avec les autorisations attribuées au processus.

Process herpaderping est une technique plus avancée où le malware modifie son image sur le disque pour ressembler à un logiciel légitime après le chargement du malware. Lorsque le logiciel de sécurité analyse le fichier sur disque, il voit un fichier inoffensif pendant que le code malveillant s’exécute en mémoire.

De nombreuses infections de logiciels malveillants utilisent des techniques de falsification de processus pour échapper à la détection, y compris le ransomware Mailto / defray777, TrickBot et BazarBackdoor.

Activation de la falsification de processus dans Sysmon v13

Pour activer la fonction de détection de sabotage de processus, les administrateurs doivent ajouter l’option de configuration «ProcessTampering» à un fichier de configuration. Sysmon surveillera simplement les événements de base tels que la création de processus et les changements d’heure de fichier sans fichier de configuration.

Cette nouvelle directive a été ajoutée au schéma Sysmon 4.50, qui peut être visualisé en exécutant le sysmon -s commander.

Pour une configuration très basique qui permettra la détection de falsification de processus, vous pouvez utiliser le fichier de configuration ci-dessous:



  
    
      
      
    
  

Pour démarrer Sysmon et le diriger vers l’utilisation du fichier de configuration ci-dessus, vous exécutez le sysmon -i et transmettez le nom du fichier de configuration. Dans notre exemple, le nom du fichier de configuration est sysmon.conf, nous utiliserions donc le …

Voir la source de cette publication