Microsoft, Sysmon 14’ü, kötü amaçlı yazılımlara karşı daha iyi koruma için EXE, DLL ve SYS dosyaları gibi kötü amaçlı yürütülebilir dosyaların oluşturulmasını engellemenize olanak tanıyan yeni bir ‘FileBlockExecutable’ seçeneğiyle yayımladı.
Bu özellik, sistem yöneticileri için güçlü bir araçtır, çünkü dosya yolu, belirli karmalarla eşleşmeleri veya belirli yürütülebilir dosyalar tarafından bırakılmaları gibi çeşitli kriterlere dayalı olarak yürütülebilir dosyaların oluşturulmasını engellemelerine olanak tanır.
Örneğin, bilinen kötü amaçlı yazılım karmaları listeniz varsa, Sysmon’u bu karmalarla eşleşen yürütülebilir dosyaların oluşturulmasını engelleyecek şekilde yapılandırabilirsiniz. Veya kötü amaçlı Office eklerinin kötü amaçlı yazılım bırakmasını önlemek istiyorsanız, Word veya Excel’den yürütülebilir dosyaların oluşturulmasını durdurabilirsiniz.
Sysmon’da yürütülebilir dosya oluşturmayı engelleme
aşina olmayanlar için sistemveya Sistem İzleyicisi, sistemleri kötü amaçlı etkinlikler için izleyebilen ve olayları Windows Olay Günlüğüne kaydedebilen ücretsiz bir Microsoft Sysinternals aracıdır.
Sysmon, işlem oluşturma ve dosya zamanı değişiklikleri gibi temel olayları varsayılan olarak Olay görüntüleyicide izleyecektir. Ancak, Sysmon’un neyi izleyeceğini veya engellediğini belirleyen gelişmiş seçenekler içeren özel bir yapılandırma dosyası oluşturmak mümkündür.
Kullanıcılar, komut satırında sysmon -s komutunu çalıştırarak görüntülenebilecekleri Sysmon şemasında yönergelerin tam listesini bulabilirler.
Mevcut Sysmon şeması, aşağıda gösterildiği gibi, yollarına, adlarına, karmalarına ve dosyaları oluşturmaya çalışan programa göre yürütülebilir dosyaların oluşturulmasını engellemek için artık ‘FileBlockExecutable’ yapılandırma seçeneğini içeren 4.82 sürümüdür.
Örneğin, Microsoft Office uygulamalarının yeni yürütülebilir dosyalar oluşturmasını önlemek için bu kural Olaf Hartong tarafından paylaşıldı harika yazı Sysmon’un en son sürümünde.
Aşağıda gösterilen bu kural, Excel, Word, PowerPoint, Outlook, Access veya Publisher tarafından yürütülebilir dosyaların oluşturulmasını engelleyecek ve olayları “technique_id=T1105,technique_name=Giriş Aracı Aktarımı” adı altında Olay Günlüğüne kaydedecektir.
Sysmon’u başlatmak ve yukarıdaki yapılandırma dosyasını kullanmaya yönlendirmek için, sysmon -i
komutunu verin ve yapılandırma dosyasının adını iletin.
Örneğimizde, yapılandırma dosyasının adı msoffice-fileblock.xmlbu yüzden aşağıdaki komutu bir İdari Komut İstemi Sysmon’u başlatmak için:
sysmon -i msoffice-fileblock.xml
Bir kez başlatıldığında, Sysmon sürücüsünü kuracak ve arka planda sessizce veri toplamaya başlayacaktır.
Tüm Sysmon olayları ‘Uygulamalar ve Hizmet Günlükleri/Microsoft/Windows/Sysmon/Operational‘ Olay Görüntüleyici’de.
FileBlockExecutable özelliği etkinleştirildiğinde, bir yürütülebilir dosya oluşturulduğunda ve bir kuralla eşleştiğinde, Sysmon dosyayı engeller ve Olay Görüntüleyici’de bir ‘Olay 27, Sysmon’ girişi oluşturur.
Örneğin, bu özelliği test ederken, genellikle kötü amaçlı yazılım düşürücüler tarafından yapılan C:\ProgramData klasöründe yürütülebilir dosyaların oluşturulmasına izin vermemeyi belirttik.
Daha sonra C:\Windows\notepad.exe dosyasını C:\ProgramData’ya kopyalamaya çalıştık ve dosya oluşturma engellendiğinde aşağıdaki olay günlüğünü tetikledik.
Oluşturulan Olay Günlüğü girişleri, aşağıda açıklanan birçok değerli bilgiyi içerecektir:
- süreç kimliği: Dosyayı oluşturmaya çalışan işlemin PID’si.
- kullanıcı: Dosyayı oluşturan işlemle ilişkili kullanıcı.
- resim: Dosyayı oluşturan programın dosya adı.
- Hedef Dosya Adı: Oluşturulması engellenen dosya.
- Doğramak: Oluşturulan dosyanın SHA256 karması.
Hartong, Sysmon’un bir dosyanın yürütülebilir olup olmadığını dosya başlığına göre belirleyeceğini söylüyor. Bu nedenle, Sysmon, aynı MZ dosya başlığını kullandıkları için DLL ve SYS yürütülebilir dosyalarını da engeller.
Bilinen kötü amaçlı yazılımları ve hack araçlarını engellemek için bu özelliği kullanan önceden hazırlanmış bir Sysmon yapılandırma dosyası isteyenler, güvenlik araştırmacısı Florian Roth tarafından oluşturulan bir dosyayı kullanabilir.
Özellik zaten atlandı
Bu çok kullanışlı bir özellik olsa da, güvenlik araştırmacısı Adam Chester, FileBlockExecutable yönergesini atlamak için bir yöntem bulduğu için %100 güvenli olarak görülmemelidir.
Bu nedenle, kötü amaçlı yazılımları izlemek ve engellemek için yararlı olsa da, güvendiğiniz tek koruma bu olmamalıdır.
Sysmon hakkında daha fazla bilgi edinin
Sysmon hakkında daha fazla bilgi edinmek isteyenler için aşağıdakileri okumanız şiddetle tavsiye edilir. Sysinternals sitesindeki belgeler ve çeşitli yapılandırma seçenekleriyle oynayın.
Ne yazık ki, Sysmon iyi belgelenmiş bir program değildir ve kullanıcıların nasıl çalıştıklarını ve olay günlüğüne hangi olayların yazıldığını görmek için çeşitli yönergelerle oynamasını gerektirir.
Ayrıca okumanız şiddetle tavsiye edilir Olaf Hartong’un blog gönderileri Sysmon hakkında, yeni özellikleri yayınlandıkça belgelediğinden.
Son olarak, yöneticiler, önceden hazırlanmış Sysmon yapılandırma dosyalarını şu adresten kullanabilir veya okuyabilir: Florian Roth ve SwiftOnSecurity kötü amaçlı yazılımları engellemek için direktiflerin nasıl kullanılabileceğini görmek için.