В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Вопросы и обсуждение различных средств удаления вирусов

13»

Комментарии

  • L0phtCrack теперь с открытым исходным кодом

    L0phtCrack 7.2.0 был выпущен как проект с открытым исходным кодом и ищет как сопровождающих, так и участников. Не стесняйтесь обращаться к @dildog в Twitter или по электронной почте [email protected], если вы хотите присоединиться к команде.

    Репозитории находятся здесь: https://gitlab.com/l0phtcrack
    Релизы доступны здесь: https://gitlab.com/l0phtcrack/l0phtcrack/-/releases

    Последняя загрузка Win64 с открытым исходным кодом находится здесь: → https://l0phtcrack.gitlab.io/releases/7.2.0/lc7setup_v7.2.0_Win64.exe


    26 июля 2021 г.
    Изменения для L0phtCrack

    С 1 июля 2021 года программное обеспечение L0phtCrack больше не принадлежит Terahash, LLC. Он был возвращен во владение предыдущими владельцами, ранее известными как L0pht Holdings, LLC из-за дефолта Terahash по ссуде на продажу в рассрочку.


    L0phtCrack больше не продается. Текущие владельцы не планируют продавать лицензии или подписки на поддержку программного обеспечения L0phtCrack. Все продажи прекратились с 1 июля 2021 года.

    Планы с открытым исходным кодом

    Текущие владельцы изучают открытый исходный код и другие варианты программного обеспечения L0phtCrack. Открытие исходного кода займет некоторое время, поскольку в продукт включены коммерчески лицензированные библиотеки, которые необходимо удалить и / или заменить. Активация лицензий для существующих лицензий была повторно активирована и должна работать должным образом, пока не станет доступна версия с открытым исходным кодом.

    Служба поддержки

    Текущие владельцы программного обеспечения L0phtCrack не будут поддерживать продукт. За любые продажи лицензий L0phtCrack, а также подписки на новую и продленную поддержку, проданные до 30 июня 2021 года, несет ответственность Terahash, LLC.
    Скачать последнюю версию
    Финальная коммерческая версия L0phtCrack 7 доступна здесь
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Microsoft анонсирует новое решение для обеспечения безопасности конечных точек для малого и среднего бизнеса

    Сегодня Microsoft анонсировала новое решение безопасности конечных точек, получившее название Microsoft Defender for Business, специально разработанное для малого и среднего бизнеса.

    Microsoft Defender для бизнеса - это решение для обеспечения безопасности конечных точек, которое помогает компаниям со штатом до 300 сотрудников защищаться от угроз кибербезопасности, включая вредоносное ПО и программы-вымогатели, в удобном и экономичном пакете.
    Defender for Business помогает предприятиям малого и среднего бизнеса защищаться от угроз кибербезопасности, включая, помимо прочего, вредоносное ПО и программы-вымогатели на устройствах Windows, macOS, iOS и Android.

    Он также поставляется с упрощенной конфигурацией клиента с помощью мастера настройки и рекомендованных политик безопасности, активируемых прямо из коробки, чтобы упростить управление даже для предприятий, не имеющих специальной группы безопасности.

    «Microsoft Defender for Business специально создан для обеспечения безопасности конечных точек корпоративного уровня для предприятий с численностью сотрудников до 300 человек в виде простого в использовании и экономичного решения».

    Ключевые функции, входящие в Defender for Business, включают:

    Упрощенное развертывание и управление для ИТ-администраторов, у которых может не быть опыта, необходимого для борьбы с постоянно меняющимся ландшафтом угроз.
    Антивирусная защита нового поколения и обнаружение конечных точек и реагирование для обнаружения сложных атак и реагирования на них с помощью поведенческого мониторинга.
    Автоматизированное расследование и исправление, чтобы помочь клиентам быстро реагировать на угрозы.
    Управление угрозами и уязвимостями заблаговременно предупреждает пользователей о слабых местах и неправильных настройках программного обеспечения.
    Интеграция Microsoft 365 Lighthouse с Microsoft Defender for Business для поставщиков ИТ-услуг для просмотра событий безопасности среди клиентов с появлением дополнительных возможностей.

    Microsoft сообщает, что новое решение для обеспечения безопасности конечных точек скоро будет доступно для ознакомления для клиентов и ИТ-партнеров.

    https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-new-endpoint-security-solution-for-smbs/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2022 PM
    Microsoft создает инструмент для сканирования маршрутизаторов MikroTik на предмет заражения TrickBot
    Microsoft выпустила сканер, который обнаруживает маршрутизаторы MikroTik, взломанные группой TrickBot, для использования в качестве прокси-серверов для серверов управления и контроля.

    TrickBot — это вредоносный ботнет, распространяемый через фишинговые электронные письма или сбрасываемый другими вредоносными программами, которые уже заразили устройство. После запуска TrickBot подключается к удаленному серверу управления и контроля, чтобы получать команды и загружать дополнительные полезные данные для запуска на зараженной машине.

    В течение многих лет TrickBot использовал устройства Интернета вещей, такие как маршрутизаторы, в качестве прокси-сервера между зараженным устройством и серверами управления и контроля (C2). Эти прокси-серверы используются, чтобы не дать исследователям и правоохранительным органам найти и нарушить их инфраструктуру управления и контроля.

    В новом отчете Microsoft исследователи объясняют, как TrickBot нацелилась на уязвимые маршрутизаторы MikroTik, используя различные методы, чтобы использовать их в качестве прокси-серверов для связи C2.

    Маршрутизация вредоносного трафика

    В операциях TrickBot использовались различные методы взлома маршрутизаторов MikroTik, начиная с использования учетных данных по умолчанию и заканчивая атаками грубой силы для подбора пароля.

    Если бы эти первоначальные методы не предоставили доступ к маршрутизатору, злоумышленники попытались бы использовать CVE-2018-14847, критическую уязвимость обхода каталога, которая позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, читать произвольные файлы. Используя эту уязвимость, злоумышленники могут украсть файл user.dat, содержащий учетные данные пользователя для маршрутизатора.

    Получив доступ к устройству, злоумышленники использовали встроенные команды «/ip», «/system» или «/tool» для создания правила преобразования сетевых адресов (NAT), которое перенаправляло трафик, отправляемый на порт 449 на маршрутизатор к порту 80 на удаленном сервере управления и контроля.

    /ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[зараженное устройство] dst-address=[реальный адрес C2]

    Используя это правило IP NAT, серверы C2 не подвергаются непосредственному анализу угроз, но по-прежнему разрешают обмен данными для зараженных устройств.

    diagram(6).jpg

    Как подчеркивает Microsoft, участники, похоже, хорошо знакомы с ограниченными функциями ОС на базе Linux в устройствах MikroTik, используя пользовательские команды SSH, которые не имеют особого смысла на других устройствах.
    Проблема с микротиком

    В отчете Eclypsium в декабре прошлого года было подчеркнуто, что сотни тысяч маршрутизаторов MikroTik по-прежнему уязвимы для вредоносных бот-сетей, спустя несколько лет после того, как поставщик предупредил о наличии критических недостатков.

    Поскольку эти устройства оснащены необычно мощным оборудованием, злоумышленники считают их важными целями, особенно теми, кто заинтересован в ресурсоемких операциях, таких как DDoS-атаки.

    Хотя обновления безопасности доступны уже много лет, многие из них остаются уязвимыми для атак ботнетами, используя недостатки без проверки подлинности, удаленного доступа и выполнения кода.

    Владельцев устройств MikroTik неоднократно призывали перейти на версии RouterOS новее 6.45.6 и избегать раскрытия протокола WinBox.

    «Этот анализ подчеркивает важность обеспечения безопасности устройств IoT в современной постоянно развивающейся среде угроз», — предупреждает Microsoft в своем отчете.

    Microsoft выпустила криминалистический инструмент под названием «routeros-scanner», который сетевые администраторы могут использовать для сканирования устройств MikroTik на наличие признаков того, что они были скомпрометированы TrickBot.

    Этот скрипт будет сканировать устройства MikroTik на наличие следующей информации:

    Получите версию устройства и сопоставьте ее с CVE.
    Проверить запланированные задачи
    Ищите правила перенаправления трафика
    Ищите отравление кеша DNS
    Ищите изменение портов по умолчанию
    Ищите пользователей не по умолчанию
    Ищите подозрительные файлы
    Ищите правила proxy, socks и FW

    Кроме того, Microsoft рекомендует выполнить следующие шаги на устройствах MikroTik для их дополнительной защиты:

    Измените пароль по умолчанию на надежный
    Заблокировать порт 8291 от внешнего доступа
    Измените порт SSH на другой, отличный от порта по умолчанию (22)
    Убедитесь, что маршрутизаторы обновлены до последней версии прошивки и исправлений.
    Используйте службу безопасной виртуальной частной сети (VPN) для удаленного доступа и ограничьте удаленный доступ к маршрутизатору.

    https://www.bleepingcomputer.com/news/security/microsoft-creates-tool-to-scan-mikrotik-routers-for-trickbot-infections/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2022 PM
    EmoCheck теперь обнаруживает новые 64-битные версии вредоносного ПО Emotet

    Japan CERT выпустил новую версию своей утилиты EmoCheck для обнаружения новых 64-битных версий вредоносного ПО Emotet, которое начало заражать пользователей в этом месяце.

    Emotet — одно из наиболее активно распространяемых вредоносных программ, распространяемых через электронные письма с использованием фишинговых писем с вредоносными вложениями, включая документы Word/Excel, ярлыки Windows, файлы ISO и защищенные паролем zip-файлы.

    Фишинговые электронные письма используют творческие приманки, чтобы заставить пользователей открывать вложения, включая электронные письма с ответами, уведомления о доставке, налоговые документы, бухгалтерские отчеты или даже приглашения на праздничные вечеринки.

    Как только устройство заражено, Emotet похищает электронные письма пользователей, чтобы использовать их в будущих фишинговых атаках с цепочкой ответов, и загружает на компьютер дополнительные полезные нагрузки вредоносного ПО.

    Поскольку дальнейшие вредоносные программы обычно приводят к краже данных и атакам программ-вымогателей, крайне важно быстро обнаруживать заражение Emotet вредоносным ПО, прежде чем будет нанесен дальнейший ущерб.

    EmoCheck обновлен для 64-битных версий

    В 2020 году Japan CERT (группа реагирования на компьютерные чрезвычайные ситуации) выпустила бесплатный инструмент под названием EmoCheck для сканирования компьютера на предмет заражения Emotet.

    Если он обнаружен, он отобразит полный путь к заражению вредоносным ПО, чтобы его можно было удалить.

    Однако ранее в этом месяце Emotet перешла на 64-битные версии своего загрузчика и стилеров, что сделало существующие обнаружения менее полезными. Кроме того, с этим переключателем инструмент EmoCheck больше не мог обнаруживать новые 64-битные версии Emotet.

    На этой неделе JPCERT выпустила EmoCheck 2.2 для поддержки новых 64-разрядных версий и теперь может обнаруживать их, как показано ниже.

    emocheck.jpg

    Чтобы проверить, заражены ли вы Emotet, вы можете загрузить утилиту EmoCheck из репозитория GitHub Japan CERT.

    После загрузки дважды щелкните файл emocheck_x64.exe (64-разрядная версия) или emocheck_x86.exe (32-разрядная версия), в зависимости от того, что вы загрузили.

    EmoCheck выполнит поиск трояна Emotet и, если вредоносная программа будет обнаружена, отобразит идентификатор процесса, под которым он работает, и расположение вредоносной DLL.

    В настоящее время Emotet устанавливается в случайную папку C:\Users\[имя пользователя]\AppData\Local. Хотя вредоносное ПО Emotet представляет собой DLL, оно не будет иметь расширения DLL, а будет случайным трехбуквенным расширением, например .bbo или .qvp.

    EmoCheck также создаст журнал в той же папке, что и программа, которая содержит обнаруженную информацию, что позволит вам ссылаться на нее по мере необходимости.

    Если вы запустите EmoCheck и обнаружите, что заражены, вам следует немедленно открыть Диспетчер задач и завершить указанный процесс, обычно это regsvr32.exe.

    Затем вы должны просканировать свой компьютер с помощью надежного антивирусного программного обеспечения, чтобы убедиться, что на вашем устройстве еще не установлено другое вредоносное ПО.

    Этот инструмент может быть удобен для администраторов Windows, которые могут запускать его при входе в систему для обнаружения заражений Emotet в своей сети.

    https://www.bleepingcomputer.com/news/security/emocheck-now-detects-new-64-bit-versions-of-emotet-malware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2022 PM
    Microsoft Sysmon теперь может блокировать создание вредоносных EXE-файлов

    Microsoft выпустила Sysmon 14 с новой опцией «FileBlockExecutable», которая позволяет блокировать создание вредоносных исполняемых файлов, таких как файлы EXE, DLL и SYS, для лучшей защиты от вредоносных программ.

    Эта функция является мощным инструментом для системных администраторов, поскольку она позволяет им блокировать создание исполняемых файлов на основе различных критериев, таких как путь к файлу, соответствие определенным хэшам или удаление определенных исполняемых файлов.

    Например, если у вас есть список хэшей известных вредоносных программ, вы можете настроить Sysmon так, чтобы он блокировал создание исполняемых файлов, соответствующих этим хэшам. Или, если вы хотите, чтобы вредоносные вложения Office не сбрасывали вредоносное ПО, вы можете остановить создание исполняемых файлов из Word или Excel.

    Блокировка создания исполняемого файла в Sysmon

    Для тех, кто не знаком с Sysmon или системным монитором, это бесплатный инструмент Microsoft Sysinternals, который может отслеживать системы на предмет вредоносной активности и регистрировать события в журнале событий Windows.

    Sysmon по умолчанию отслеживает основные события, такие как создание процесса и изменение времени файла, в средстве просмотра событий. Однако можно создать собственный файл конфигурации, содержащий дополнительные параметры, которые определяют, что Sysmon отслеживает или блокирует.

    Пользователи могут найти полный список директив в схеме Sysmon, которую можно просмотреть, выполнив команду sysmon -s в командной строке.

    Текущая схема Sysmon — версия 4.82, которая теперь включает параметр конфигурации «FileBlockExecutable», блокирующий создание исполняемых файлов на основе их пути, имени, хэша и программы, пытающейся создать файлы, как показано ниже.

    schema.jpg
    Например, чтобы запретить приложениям Microsoft Office создавать новые исполняемые файлы, вы можете использовать это правило, которым поделился Олаф Хартонг в своей замечательной статье о последней версии Sysmon.

    Это правило, показанное ниже, блокирует создание любого исполняемого файла Excel, Word, PowerPoint, Outlook, Access или Publisher и регистрирует любые события в журнале событий под именем «technique_id=T1105,technique_name=Ingress Tool Transfer».

    microsoft-office-rule.jpg
    Чтобы запустить Sysmon и указать ему использовать указанный выше файл конфигурации, вы должны выполнить команду sysmon -i и передать имя файла конфигурации.

    В нашем примере имя файла конфигурации — msoffice-fileblock.xml, поэтому мы будем использовать следующую команду из административной командной строки для запуска Sysmon:
    sysmon -i msoffice-fileblock.xml
    

    После запуска Sysmon установит свой драйвер и начнет собирать данные в фоновом режиме.

    Все события Sysmon будут записываться в «Журналы приложений и служб/Microsoft/Windows/Sysmon/Operational» в средстве просмотра событий.

    При включенной функции FileBlockExecutable, когда исполняемый файл создается и соответствует правилу, Sysmon блокирует файл и создает запись «Event 27, Sysmon» в средстве просмотра событий.

    Например, при тестировании этой функции мы запретили создание исполняемых файлов в папке C:\ProgramData, что обычно делают дропперы.

    block-programdata.jpg
    Затем мы попытались скопировать C:\Windows\notepad.exe в C:\ProgramData, запустив следующий журнал событий, когда создание файла было заблокировано.

    event-log.jpg


    https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-can-now-block-malicious-exes-from-being-created/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2022 PM
    Новый вариант PsExec позволяет хакерам обходить средства защиты сети

    Исследователи безопасности разработали реализацию утилиты Sysinternals PsExec, которая позволяет перемещаться по сети с использованием одного менее контролируемого порта Windows TCP 135.

    PsExec предназначен для того, чтобы помочь администраторам удаленно выполнять процессы на компьютерах в сети без необходимости установки клиента.

    Злоумышленники также внедрили этот инструмент и часто используют его на постэксплуатационных этапах атаки для распространения по сети, выполнения команд в нескольких системах или развертывания вредоносных программ.

    Impacket — это набор классов Python для работы с сетевыми протоколами.

    PsExec и необходимые TCP-порты

    В то время как исходный PsExec доступен в наборе утилит Sysinternals, в наборе Impacket также есть реализация классов Python для работы с сетевыми протоколами, которая поддерживает SMB и другие протоколы, такие как IP, UDP, TCP, которые разрешают соединения для HTTP, LDAP (облегченный протокол доступа к каталогам) и Microsoft SQL Server (MSSQL).

    И оригинальная версия, и вариант Impacket работают одинаково. Они используют соединение SMB и основаны на порте 445, который должен быть открыт для обмена данными по сетевому протоколу обмена файлами SMB.

    Они также управляют службами Windows (создают, выполняют, запускают, останавливают) с помощью удаленных вызовов процедур (RPC) — протокола, обеспечивающего высокоуровневую связь с операционной системой.

    Однако для расширенной функциональности требуется порт 135. Однако блокировка этого порта не мешает злоумышленнику завершить атаку, поэтому порт 445 необходим для работы PsExec.

    Из-за этого защитники в основном сосредотачиваются на блокировке порта 445, который необходим PsExec для выполнения команд или запуска файлов. Это работает в большинстве случаев, но этого недостаточно.

    Новая реализация PsExec

    На основе библиотеки Impacket исследователи из Pentera, компании, которая предоставляет решение для автоматической проверки безопасности, создали реализацию инструмента PsExec, который работает только на порту 135.

    Это достижение вносит изменения в игру защиты, поскольку блокировка только порта 445 для ограничения вредоносной активности PsExec больше не является надежным вариантом для большинства атак.

    https://www.bleepingcomputer.com/news/security/new-psexec-spinoff-lets-hackers-bypass-network-security-defenses/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Microsoft Sysmon теперь определяет, когда создаются исполняемые файлы

    Microsoft выпустила Sysmon 15, превратив его в защищенный процесс и добавив новую опцию «FileExecutableDetected» для регистрации при создании исполняемых файлов.
    Для тех, кто не знаком с Sysmon (или System Monitor), это бесплатный инструмент Microsoft Sysinternals, который может отслеживать и блокировать вредоносные/подозрительные действия и регистрировать события в журнале событий Windows.

    По умолчанию Sysmon отслеживает основные события, такие как создание нового процесса и его завершение. Однако можно создавать файлы расширенной конфигурации, которые позволяют отслеживать различные действия, такие как удаление файлов, изменение буфера обмена Windows, а также обнаружение и блокирование уничтожения файлов.

    Пользователи могут найти полный список директив в схеме Sysmon, которую можно просмотреть, выполнив команду sysmon -s в командной строке.

    Вчера Microsoft выпустила Sysmon 15.0, которая включает в себя две новые функции — усиление защиты программы путем превращения ее в защищенный процесс и возможность обнаружения создания исполняемых файлов в отслеживаемой системе.

    Sysmon теперь защищенный процесс

    Поскольку Sysmon обычно используется для обнаружения вредоносного поведения, в интересах злоумышленников вмешиваться в работу или отключать программное обеспечение.

    В этом выпуске Microsoft преобразовала исполняемый файл Sysmon.exe в защищенный процесс, чтобы предотвратить внедрение вредоносного кода в процесс.

    «В Windows 8.1 была введена новая концепция защищенной службы, позволяющая запускать службы пользовательского режима защиты от вредоносных программ как защищенную службу», — поясняется в статье Microsoft об этой функции.

    «После того, как служба запускается как защищенная, Windows использует целостность кода, чтобы разрешить загрузку только надежного кода в защищенную службу. Windows также защищает эти процессы от внедрения кода и других атак со стороны процессов администратора».

    После запуска Sysmon вы можете увидеть, что это защищенный процесс, используя Process Explorer и изучив его свойства безопасности, как показано ниже.

    Основанный на Process Explorer, Sysmon работает как процесс PPL (PROTECTED_ANTIMALWARE_LIGHT)

    Обнаружение новых исполняемых файлов

    Система 15.0 также обновляет схему Sysmon до версии 4.90, которая теперь включает параметр конфигурации «FileExecutableDetected» для обнаружения создания исполняемых файлов на отслеживаемом устройстве.
    <event name="SYSMONEVENT_FILE_EXE_DETECTED" value="29" level="Information" template="File ExecutableDetected" rulename="FileExecutableDetected" version="5">
    <data name="RuleName" inType="win:UnicodeString" outType="xs:string" />
    <data name="UtcTime" inType="win:UnicodeString" outType="xs:string" />
    <data name="ProcessGuid" inType="win:GUID" />
    <data name="ProcessId" inType="win:UInt32" outType="win:PID" />
    <data name="User" inType="win:UnicodeString" outType="xs:string" />
    <data name="Image" inType="win:UnicodeString" outType="xs:string" />
    <data name="TargetFilename" inType="win:UnicodeString" outType="xs:string" />
    <data name="Hashes" inType="win:UnicodeString" outType="xs:string" />
    </событие>

    Например, чтобы использовать новую директиву FileExecutableDetected для обнаружения новых исполняемых файлов, созданных в папках C:\ProgramData\ и C:\Users\, вы можете использовать следующий файл конфигурации:
    <Системная версия схемы="4.90">
    <!-- Захватить все хэши -->
    <HashAlgorithms>MD5,SHA256</HashAlgorithms>
    <Фильтрация событий>
    <!-- Журнал создания исполняемого файла -->
    <FileExecutableDetected onmatch="include">
    <TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
    <TargetFilename condition="begin with">C:\Users\</TargetFilename>
    </FileExecutableDetected>
    </Фильтрация событий>
    </Sysmon>

    Чтобы запустить Sysmon и указать ему использовать указанный выше файл конфигурации, вы должны выполнить команду sysmon -i и передать имя файла конфигурации.

    В нашем примере имя файла конфигурации — sysmon.conf, поэтому мы будем использовать следующую команду из административной командной строки для запуска Sysmon:
    sysmon -i sysmon.conf
    

    После запуска Sysmon установит свой драйвер и будет собирать данные в фоновом режиме.

    Все события Sysmon будут записываться в «Журналы приложений и служб/Microsoft/Windows/Sysmon/Operational» в средстве просмотра событий.

    При включенной функции FileExecutableDetected, когда новый исполняемый файл создается в папке C:\ProgramData или C:\Users\ (и любой из их подпапок), Sysmon сгенерирует исполняемый файл, созданный и соответствующий правилу, Sysmon заблокирует файл и создайте запись «Событие 29, обнаружен исполняемый файл» в средстве просмотра событий.

    event-viewer.jpg

    Созданные записи журнала событий будут содержать много ценной информации, описанной ниже:
    UtcTime: время обнаружения события.
    ProcessID: PID процесса, пытающегося создать исполняемый файл.
    Пользователь: пользователь, связанный с процессом создания файла.
    Изображение: имя файла программы, создающей файл.
    TargetFilename: созданный исполняемый файл. Примечание. В наших тестах файл всегда отображался под временным именем.
    Хэш: Хэш создаваемого файла. Отображаемые хэши будут зависеть от вашего параметра конфигурации HashAlgorithms.

    Чтобы получить еще больше информации и творческих советов по использованию этой новой функции, настоятельно рекомендуется прочитать превосходную статью Олафа Хартонга об этой новой версии Sysmon.

    Для тех, кому нужен готовый файл конфигурации Sysmon, который использует эту функцию для обнаружения известных вредоносных программ или исполняемых файлов инструментов взлома, вы можете использовать конфигурацию Sysmon исследователя безопасности Флориана Рота.

    Узнать больше
    Sysmon — это продвинутый инструмент мониторинга сети с множеством директив, позволяющих создавать файлы конфигурации, отвечающие потребностям вашей организации.
    Из-за сложности программы настоятельно рекомендуется прочитать документацию Sysmon и поэкспериментировать с параметрами конфигурации, чтобы увидеть, как работают различные директивы.

    К сожалению, Sysmon не является хорошо документированной программой, требующей, чтобы пользователи проводили пробы и ошибки, чтобы протестировать функции и посмотреть, какие события записываются в журнал событий.

    Хорошей новостью является то, что Sysmon не загрузит неправильно сконфигурированный файл конфигурации, поэтому, если вы видите сообщение «Конфигурационный файл проверен» при загрузке Sysmon, знайте, что вы, по крайней мере, на правильном пути.

    Вам также следует прочитать сообщения в блоге Олафа Хартонга о Sysmon, так как он документирует новые функции по мере их выпуска.

    Наконец, администраторы могут использовать или читать готовые файлы конфигурации Sysmon от Флориана Рота и SwiftOnSecurity, чтобы увидеть, как можно использовать директивы для блокировки вредоносных программ.

    https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-now-detects-when-executables-files-are-created/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.