Microsoft Sysmon agora detecta quando arquivos executáveis são criados
29 de Junho de 2023

A Microsoft lançou o Sysmon 15, transformando-o em um processo protegido e adicionando a nova opção "FileExecutableDetected" para registrar quando arquivos executáveis são criados.

Para aqueles que não estão familiarizados com o Sysmon (ou System Monitor), é uma ferramenta gratuita da Microsoft Sysinternals que pode monitorar e bloquear atividades maliciosas/suspeitas e registrar eventos no Registro de Eventos do Windows.

Por padrão, o Sysmon monitora eventos básicos, como a criação de novos processos e o término de processos.

No entanto, é possível criar arquivos de configuração avançados que permitem monitorar vários comportamentos, como exclusão de arquivos, alterações na área de transferência do Windows e detectar e bloquear a destruição de arquivos.

Os usuários podem encontrar a lista completa de diretivas no esquema do Sysmon, que pode ser visualizado executando o comando sysmon -s na linha de comando.

Ontem, a Microsoft lançou o Sysmon 15.0, que inclui duas novas funcionalidades - a proteção do programa ao transformá-lo em um processo protegido e a capacidade de detectar quando arquivos executáveis são criados no sistema monitorado.

Como o Sysmon é comumente usado para detectar comportamentos maliciosos, é do interesse dos atores de ameaça manipular ou desativar o software.

Com este lançamento, a Microsoft converteu o executável Sysmon.exe em um processo protegido para impedir a injeção de código malicioso no processo.

"No Windows 8.1, um novo conceito de serviço protegido foi introduzido para permitir que serviços do modo de usuário antivírus sejam iniciados como um serviço protegido", explica um artigo da Microsoft sobre a funcionalidade.

"Depois que o serviço é iniciado como protegido, o Windows usa a integridade de código para permitir apenas o carregamento de código confiável no serviço protegido.

O Windows também protege esses processos contra injeção de código e outros ataques de processos administrativos."

Após o lançamento do Sysmon, é possível ver que ele é um processo protegido usando o Process Explorer e examinando suas propriedades de segurança, conforme mostrado abaixo.

Com base no Process Explorer, o Sysmon está sendo executado como um processo PPL (PROTECTED_ANTIMALWARE_LIGHT), que é descrito com mais detalhes neste artigo da Elastic.

O Sysmon 15.0 também atualiza o esquema do Sysmon para a versão 4.90, que agora inclui a opção de configuração 'FileExecutableDetected' para detectar a criação de arquivos executáveis no dispositivo monitorado.

Por exemplo, para usar a nova diretiva FileExecutableDetected para detectar novos executáveis criados nas pastas C:\ProgramData\ e C:\Users\, você pode usar o seguinte arquivo de configuração:
Para iniciar o Sysmon e direcioná-lo a usar o arquivo de configuração acima, você deve executar o comando sysmon -i e passar o nome do arquivo de configuração.

Uma vez iniciado, o Sysmon instalará seu driver e coletará dados silenciosamente em segundo plano.

Todos os eventos do Sysmon serão registrados em 'Logs de Aplicativos e Serviços/Microsoft/Windows/Sysmon/Operacional' no Visualizador de Eventos.

Com a funcionalidade FileExecutableDetected ativada, quando um novo arquivo executável for criado nas pastas C:\ProgramData\ ou C:\Users\ (e suas subpastas), o Sysmon gerará uma entrada "Evento 29, Arquivo Executável Detectado" no Visualizador de Eventos.

As entradas de log de eventos criadas conterão muitas informações valiosas, explicadas abaixo:
Para obter ainda mais informações e dicas criativas sobre o uso desta nova funcionalidade, é altamente recomendado ler o excelente artigo de Olaf Hartong sobre esta nova versão do Sysmon.

Para aqueles que desejam um arquivo de configuração pré-feito do Sysmon que usa essa funcionalidade para detectar quando executáveis de malware conhecidos ou ferramentas de hackers são criados, você pode usar o config do Sysmon do pesquisador de segurança Florian Roth.

O Sysmon é uma ferramenta avançada de monitoramento de rede com muitas diretivas que permitem criar arquivos de configuração de acordo com as necessidades da sua organização.

Devido à complexidade do programa, é altamente recomendado ler a documentação do Sysmon e explorar as opções de configuração para entender como as várias diretivas funcionam.

Infelizmente, o Sysmon não é um programa bem documentado, o que requer que os usuários realizem tentativa e erro para testar recursos e ver quais eventos são gravados no log de eventos.

A boa notícia é que o Sysmon não carregará um arquivo de configuração mal configurado, então se você ver a mensagem "Arquivo de configuração validado" ao carregar o Sysmon, você pelo menos está no caminho certo.

Também é recomendado ler os artigos de blog de Olaf Hartong sobre o Sysmon, pois ele documenta as novas funcionalidades conforme são lançadas.

Por fim, os administradores podem usar ou ler os arquivos de configuração pré-feitos do Sysmon de Florian Roth e SwiftOnSecurity para ver como as diretivas podem ser usadas para bloquear malwares.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...