Sysmon 14 Yayınlandı, Zararlı EXE Engelleme Özelliği Geldi

Microsoft, Sysmon 14 sürümünü yayınladı. Yeni sürüm ile birlikte EXE, DLL ve SYS uzantılı kötü amaçlı dosyların üretilmesini engelleyen “FileBlockExecutable” özelliği ile beraber geldi.

Bu yeni özellik ile kötü amaçlı yazılım listeniz oluşturabilir ve Sysmon’u bu listeler ile eşleşen yürütülebilir dosyaların oluşturulmasını engelleyecek şekilde yapılandırabilirsiniz. Veya kötü amaçlı Office eklerinin kötü amaçlı yazılım dağıtmasını önlemek istiyorsanız, Word veya Excel’den dosyaların oluşturulmasını engelleyebilirsiniz.

Aşağıdaki sysmon üzerinde yaplandırılmış “FileBlockExecutable” yapılandırması görüyorsunuz.

Diğer bir örnek kural, Excel, Word, PowerPoint, Outlook, Access veya Publisher tarafından yürütülebilir dosyaların oluşturulmasını engelleyecek ve olayları “technique_id=T1105,technique_name=Ingress Tool Transfer.” adı altında Olay Günlüğüne kaydedecektir.

Yapılandırma dosyasının adı msoffice-fileblock.xml olarak kaydediyoruz ve Sysmon’u başlatmak için aşağıdaki komutu kullanıyoruz.

sysmon -i msoffice-fileblock.xml

Yeniden başlatıldığında, Sysmon arka planda sessizce veri toplamaya başlayacaktır. Tüm Sysmon olayları , Olay Görüntüleyicide ‘Applications and Services Logs/Microsoft/Windows/Sysmon/Operational‘ klasörüne kaydedilecektir. FileBlockExecutable özelliği etkinleştirildiğinde, bir yürütülebilir dosya oluşturulduğunda ve bir kuralla eşleştiğinde, Sysmon dosyayı engeller ve Olay Görüntüleyici’de ‘Event 27, Sysmon’ olarak oluşturuluyor.

Bilinen kötü amaçlı yazılımları ve hack araçlarını engellemek için bu özelliği kullanan önceden hazırlanmış bir Sysmon yapılandırma dosyası isteyenler, güvenlik araştırmacısı Florian Roth tarafından oluşturulan bir dosyayı kullanabilir.

FileBlockExecutable özelliği bypass edildi mi ?

Bu çok kullanışlı bir özellik olsa da, güvenlik araştırmacısı Adam Chester, FileBlockExecutable’ı atlamak için bir yöntem bulduğu için %100 güvenli olarak görülmemelir diyor.

Sysmon hakkında daha fazla bilgi edinmek isteyenler için Sysinternals’ın sitesindeki belgeleri okuyabilirsiniz.

Exit mobile version