Sysmon 14.0 potrafi blokować tworzenie plików wykonywalnych

W tym tygodniu Microsoft wypuścił aktualizację pakietu Sysinternals Suite 2022.08.16. Nowa wersja zawiera Sysmon v14.0, AccessEnum v1.34 i Coreinfo v3.53. Szczególnie ciekawą funkcjonalność zyskał Sysmon, który może teraz blokować procesy przed tworzeniem plików EXE lub podobnych plików wykonywalnych.

Z oficjalnego changeloga dowiadujemy się, że jest to ważna aktualizacja Sysmon, zaawansowanego narzędzia do monitorowania hostów. Dodaje ona nowy typ zdarzenia FileBlockExecutable, który uniemożliwia procesom tworzenie plików wykonywalnych w określonych lokalizacjach. Zawiera również kilka ulepszeń wydajności i poprawek błędów. Jak wyjaśnił opiekun repozytorium Sysmon w GitHub, Olaf Hartong, funkcja ta może pomóc w zapobieganiu tworzeniu złośliwych plików lub pobieraniu szkodliwych payloadów przez droppery złośliwego oprogramowania, takie jak te używane m.in. w makrach:

Sysmon utrudnia teraz zapisywanie plików wykonywalnych na podstawie nagłówka pliku w systemie plików zgodnie z kryteriami filtrowania. Może to być bardzo potężna funkcja blokowania niektórych programów zapisujących złośliwe pliki na dysku.

Przykład zastosowania "FileBlockExecutable" można znaleźć na blogu Olafa Hartonga. Aktualną wersję Sysinternals Suite pobierzemy z jego strony.