Microsoft 发布了 Sysmon 14,其中包含一个新的“FileBlockExecutable”选项,可让您阻止创建可执行文件以更好地防范恶意软件。
此功能对于系统管理员来说是一个强大的工具,因为它允许他们根据各种标准(例如文件路径、它们是否匹配特定哈希值或被某些可执行文件删除)来阻止创建可执行文件。
例如,如果您有一个已知恶意软件哈希的列表,您可以配置 Sysmon 以阻止创建与这些哈希匹配的可执行文件。或者,如果要防止恶意 Office 附件丢弃恶意软件,可以停止从 Word 或 Excel 创建可执行文件。
阻止在 Sysmon 中创建可执行文件
对于那些不熟悉Sysmon或 System Monitor 的人,它是一个免费的 Microsoft Sysinternals 工具,可以监视系统中的恶意活动并将事件记录到 Windows 事件日志中。
默认情况下,Sysmon 将监视基本事件,例如进程创建和文件时间更改到事件查看器。但是,可以创建自定义配置文件,其中包含确定 Sysmon 监控或阻止的高级选项。
用户可以在 Sysmon 架构中找到完整的指令列表,可以通过在命令行运行 sysmon -s 命令查看。
当前的 Sysmon 架构是 4.82 版,现在包括“FileBlockExecutable”配置选项,可根据可执行文件的路径、名称、哈希和尝试创建文件的程序来阻止创建可执行文件,如下所示。
新的 FileBlockExecutable 配置指令
例如,为了防止 Microsoft Office 应用程序创建新的可执行文件,您可以使用 Olaf Hartong 在他 关于最新版本 Sysmon 的精彩文章中分享的这条规则。
如下所示,此规则将阻止 Excel、Word、PowerPoint、Outlook、Access 或 Publisher 创建任何可执行文件,并将任何事件记录到名为“technique_id=T1105,technique_name=Ingress Tool Transfer”的事件日志中。
奥拉夫·哈通 (Olaf Hartong) 的规则以防止 Office 应用程序创建可执行文件
要启动 Sysmon 并指示它使用上述配置文件,您将执行sysmon -i 命令并传递配置文件的名称。
在我们的示例中,配置文件的名称是msoffice-fileblock.xml,因此我们将使用管理命令提示符中的以下命令来启动 Sysmon:
sysmon -i msoffice-fileblock.xml
启动后,Sysmon 将安装其驱动程序并开始在后台安静地收集数据。
所有 Sysmon 事件都将记录到事件查看器中的“应用程序和服务日志/Microsoft/Windows/Sysmon/Operational ”中。
启用 FileBlockExecutable 功能后,当创建可执行文件并匹配规则时,Sysmon 将阻止该文件并在事件查看器中生成“事件 27,Sysmon”条目。
例如,在测试此功能时,我们指定不允许在 C:\ProgramData 文件夹中创建可执行文件,这通常由恶意软件投放器完成。
阻止在 C:\ProgramData 中创建可执行文件
来源:BleepingComputer
然后我们尝试将 C:\Windows\notepad.exe 复制到 C:\ProgramData,当文件创建被阻止时触发以下事件日志。
事件 25 – 进程篡改
创建的事件日志条目将包含很多有价值的信息,解释如下:
ProcessID:尝试创建文件的进程的 PID。
用户:与创建文件的进程关联的用户。
图片:创建文件的程序的文件名。
TargetFilename:被阻止创建的文件。
哈希:正在创建的文件的 SHA256 哈希。
Hartong 表示,Sysmon 将根据文件头确定文件是否为可执行文件。因此,Sysmon 还将阻止 DLL 和 SYS 可执行文件,因为它们使用相同的 MZ 文件头。
对于那些想要使用此功能来阻止已知恶意软件和黑客工具的预制 Sysmon 配置文件的人,您可以使用由安全研究员 Florian Roth 创建的配置文件。
https://pbs.twimg.com/media/FaXgdzhWAAMUlM8?format=jpg&name=240×240
因此,虽然它对于监控和阻止恶意软件很有用,但它不应该是您依赖的唯一保护。
了解更多关于 Sysmon
对于那些想了解更多关于 Sysmon 的人,强烈建议您阅读Sysinternals 网站上的文档并尝试各种配置选项。
不幸的是,Sysmon 不是一个文档齐全的程序,它要求用户使用各种指令来查看它们是如何工作的以及将哪些事件写入事件日志。
还强烈建议阅读 Olaf Hartong 关于 Sysmon 的博客文章,因为他记录了新功能的发布。
最后,管理员可以使用或阅读来自Florian Roth 和 SwiftOnSecurity的预制 Sysmon 配置文件, 以了解如何使用指令来阻止恶意软件。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Microsoft Sysmon 14现在可以阻止创建可执行文件