Microsoft telah merilis Sysmon 13 dengan fitur keamanan baru yang mendeteksi jika suatu proses telah dirusak menggunakan proses hollowing atau teknik proses herpaderping.
Proses hollowing adalah ketika malware meluncurkan proses yang sah dalam keadaan ditangguhkan dan mengganti kode yang sah dalam proses dengan kode berbahaya. Kode berbahaya ini kemudian dijalankan oleh proses, dengan izin apa pun yang ditetapkan untuk proses tersebut.
Proses herpaderping adalah teknik yang lebih canggih di mana malware mengubah image nya di disk agar terlihat seperti perangkat lunak yang sah setelah malware dimuat. Ketika perangkat lunak keamanan memindai file pada disk, itu akan melihat file yang tidak berbahaya sementara kode berbahaya berjalan di memori.
Jika Anda tidak terbiasa dengan Sysmon, atau System Monitor, itu adalah alat Sysinternals yang dirancang untuk memantau sistem untuk aktivitas berbahaya dan mencatat event tersebut ke event log Windows.
Anda dapat mengunduh Sysmon dari halaman Sysinternal khusus atau http://live.sysinternals.com/sysmon.exe.
Untuk mengaktifkan fitur deteksi gangguan proses, administrator perlu menambahkan opsi konfigurasi ‘ProcessTampering’ ke file konfigurasi. Sysmon hanya akan memantau kejadian dasar seperti pembuatan proses dan perubahan waktu file tanpa file konfigurasi.
Dengan mengaktifkan fitur ProcessTampering, saat proses hollowing atau proses herpaderping terdeteksi, Sysmon akan membuat entri ‘Event 25 – Process Tampering’ di Event Viewer.
Bagi Anda yang ingin mempelajari lebih lanjut tentang Sysmon, sangat disarankan agar Anda membaca dokumentasi di situs Sysinternals dan bermain-main dengan berbagai opsi konfigurasi.
Sumber: Bleeping Computer
