Microsoft heeft zijn diagnostische tooling Sysinternals voor op Windows gebaseerde systemen een flinke update gegeven. Op securitygebied maakt versie 13 van het onderdeel Sysmon het nu mogelijk om een tweetal zeer geavanceerde aanvallen te ontdekken.
De Sysinternals tooling van Microsoft is een verzameling van 160 applicaties die systeembeheerders moeten helpen om Windows-systemen te debuggen. Ook helpt het securityspecialisten malware-aanvallen te vinden en te onderzoeken. Deze tools kunnen direct vanaf het internet worden gebruikt, zonder dat beheerders deze hoeven te downloaden.
Versie 13 van Sysmon
Eén van de belangrijkste onderdelen van deze suite van diagnostische oplossingen is de tool Sysmon. Deze tool logt systeem events zoals het maken van processen, netwerkconnecties en veranderingen in de tijd voor het creëren van bestanden. De tool is tegenwoordig een must-have voor securityspecialisten voor het verdedigen van netwerken tegen aanvallen of voor het uitvoeren van diagnostische forensics en incident response.
In de nu uitgebrachte update van Sysinternals is de functionaliteit van de tool Sysmon met versie 13 verder uitgebreid. De belangrijkste toegevoegde functionaliteit aan deze vaak voor security gebruikte tool is dat het nu kan ontdekken en loggen wanneer malware invloed uitoefent op legitieme processen.
Process Herpaderping- en Process Hollowing-aanvallen
In het bijzonder gaat het hierbij om het ontdekken van zogenoemde Process Herpaderping- en Process Hollowing-aanvallen. Process Herpaderping is een nieuwe aanvalstechniek waarbij malware de intenties van een aanval kan verbergen door zijn inhoud van kwaadaardige code op de harde schijf te verbergen, nadat het image is ‘gemapt’. Hierdoor kan kwaadaardige code in applicaties komen die beveiligingssoftware aanmerkt als veilig.
De Process Hollowing-aanval is een oudere techniek die hetzelfde als Process Herpaderping werkt, maar waarbij malware een legitiem applicatieproces onderbreekt, de interne content verwijdert en vervolgens daarin de kwaadaardige code injecteert. Deze kwaadaardige code wordt dan vervolgens weer normaal door de vertrouwde dienst uitgevoerd.
Werking Sysmon v13
Met de update geeft de Sysmon-tool van Microsoft nu een alert in de Windows event log af met de zogenoemde ‘EventID 25 identifier’. Beheerders en securityexperts kunnen dan processen scannen voor dit ID en ontdekken welk proces door een malware-aanval, vooral dus Process Herpaderping en Process Hollowing, wordt geprobeerd te veranderen.
De update van Sysinternals en versie 13 van Sysmon zijn per direct beschikbaar.
16 uur geleden
