Tech

Sysmon 13, Nouveautés du moniteur d’activité Windows

Par Julian, le janvier 13, 2021 - logiciel, logiciels, microsoft, windows
Sysmon 13, Nouveautés du moniteur d'activité Windows

Qu’est-ce que Microsoft Sysmon

Sysmon est l’un des outils avancés essentiels pour tous les utilisateurs qui souhaitent avoir un contrôle absolu sur le système. Une fois cet outil installé, Sysmon prend automatiquement en charge l’enregistrement de tous les événements et de toute l’activité du système. Ce logiciel que vous configurez en tant que service et continue de fonctionner pendant les redémarrages du système afin de savoir en détail ce qui se passe au démarrage de Windows, nous travaillons avec ou nous la désactivons.

Cet outil nous fournit des informations détaillées sur tous les processus créés, les connexions réseau établies et les modifications apportées lors de la création de fichiers. De cette manière, il est possible de détecter, avec une relative facilité, toutes sortes d’activités suspectes ou non autorisées qui pourraient constituer un danger pour l’ordinateur, comme les logiciels malveillants.

Et maintenant avec le nouvelle version 13 de Sysmon, il sera possible de détecter les malwares les plus complexes.

Quoi de neuf dans la nouvelle version 13 de Microsoft Sysmon

Sans aucun doute, la principale nouveauté de la nouvelle version 13 de cet outil est la possibilité de détecter les processus qui ont été manipulés pour tenter de tromper les antivirus ou autres logiciels de sécurité. Lorsque les logiciels malveillants tirent parti de Falsification de processus, est généralement caché dans un processus qui, apparemment, est digne de confiance. Et comme de nombreux programmes de sécurité ont ces processus sur liste blanche, ils passent inaperçus. Même si nous ouvrons le gestionnaire de tâches, nous ne pourrons pas l’identifier.

Il s’agit d’une technique largement utilisée par le malware plus avancétels que Mailto / defray777, TrickBot ou BazarBackdoor ransomware. Heureusement, grâce au nouveau Microsoft Sysmon 13, nous allons désormais pouvoir détecter ces types de menaces. Pour ce faire, il suffit de télécharger la nouvelle version depuis son site Web et d’ajouter manuellement l’option « ProcessTampering » dans le fichier de configuration du programme. Cette nouvelle directive fait partie du schéma de configuration Sysmon 4.50.

Une fois cette instruction ajoutée, nous devons exécuter le programme en utilisant le paramètre -ie indiquant le fichier de configuration correspondant. Par exemple:

sysmon -i sysmon.conf

À partir de maintenant, Sysmon surveillera toutes les activités du PC. Quand quelque chose essaie de contrôler un processus et est suspect, un Événement 25 dans l’Observateur d’événements Windows, qui indiquera qu’il y a eu une modification du processus.

processus de vidage Sysmon 13

Ça marche vraiment?

Depuis Bleepingcomputer, ils ont testé cette nouvelle fonction pour voir si cela fonctionne vraiment pour détecter les logiciels malveillants. Les experts ont téléchargé et exécuté, dans des environnements contrôlés, des versions du malware TrickBot et BazarLoader. Et, malheureusement, Sysmon n’a pas été en mesure de détecter les altérations des processus que ces malwares effectuent.

Ce que le nouveau Sysmon 13 a détecté, ce sont de nombreuses modifications de processus dans les navigateurs, à la fois dans Chrome et dans Firefox et Edge. Tous, bien sûr, des faux positifs. Il semble que Microsoft doive affiner un peu plus son outil pour qu’il puisse être utile.

Julian

Julian

Je suis correspondant principal chez WebVZ; le site hebdomadaire consacré à l'avenir des médias, la technologie, la culture (série, film, musique) et jeux-vidéo. J'anime parfois (en plus de mes articles), une série de d'interviews percutantes avec les principaux acteurs de l'industrie des médias et de la technologie.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.