¡ Microsoft Sysmon ahora bloquea la creación de EXE maliciosos !

Microsoft Sysmon 14 ahora se encarga de bloquear la creación de todos los EXE maliciosos.

Microsoft Sysmon 14
Microsoft Sysmon 14

Microsoft ha lanzado Microsoft Sysmon 14 con una increíble nueva opción, la cual es llamada «FileBlockExecutable» permitiendo bloquear la creación de ejecutables maliciosos, como lo sería archivos EXE, DLL y SYS para lograr una mejor protección contra algún malware.

Está función es una herramienta realmente poderosa para todos los administradores de sistemas, ya que les ofrece la posibilidad de bloquear la creación de ejecutables maliciosos en función de varios criterios.

Sysmon 14
Sysmon 14

Como sería la ruta de tal archivo, si coinciden con hashes específicos o si ciertos ejecutables los eliminan, no hay duda alguna que presenta ser una función interesante.

Por ejemplo, si posees una lista de hashes de malwares conocidos, podrás configurar Microsoft Sysmon para bloquear la creación de ejecutables que coincidan con esos mismos hashes.

O bien, si deseas evitar que los archivos adjuntos maliciosos de Office dejen caer los malwares, puedes detener la creación de tales archivos ejecutables desde el mismo Word o Excel.

A continuación, te diremos todo lo que debes al respecto de ésta nueva función, además de las características que tendrás a tu favor por medio de Microsoft Sysmon.

Bloqueo de la creación de ejecutables por medio de Microsoft Sysmon 

Para aquellos que no se encuentran familiarizados con Microsoft Sysmon o System Monitor, se trata de una herramienta gratuita de Microsoft que busca monitorear los sistemas; en busca de alguna actividad maliciosa y registrar toda clase de eventos, en el registro de eventos del mismo Windows.

Sysmon monitorea todos los eventos básicos como lo sería la creación de procesos, y todos los cambios de tiempo del archivo de forma predeterminada en el visor de eventos.

Sin embargo, es posible crear un archivo de configuración personalizado, que contenga opciones avanzadas que determinen que monitorea o que bloquea Microsoft Sysmon.

Los usuarios podrán encontrar la lista completa de directivas en el esquema de Sysmon, que se puede observar ejecutando con el comando Sysmon-s en la línea de comandos.

Se recomienda leer las publicaciones de blog de Olaf Hartong sobre Microsoft Sysmon, prefabricados de Florian Roth y SwiftOnSecurity para observar como se pueden usar las directivas y bloquear malware.

Cómo iniciar Sysmon para que escanee un archivo

Para iniciar Sysmon e indicarle que use el archivo de configuración anterior, debe ejecutar el sysmon -i comando y pasar el nombre del archivo de configuración. 

Una vez iniciado, Sysmon instalará su controlador y comenzará a recopilar datos silenciosamente en segundo plano, todo sin causar problema alguno en nuestro navegador.

Podrás ver todos los eventos de Sysmon  en «Registros de aplicaciones» y servicios/Microsoft/Windows/Sysmon/Operational » en el Visor de eventos. 

Las entradas del registro de eventos creadas contendrán mucha información valiosa, misma que explicamos a continuación: 

  • ProcessID: El PID del proceso que intenta crear el archivo. 
  • Usuario: El usuario asociado con el proceso de creación del archivo. 
  • Imagen: El nombre de archivo del programa que crea el archivo
  • TargetFilename: El archivo cuya creación se bloqueó
  • Hash: El hash SHA256 del archivo que se estaba creando

Hartong dice que Microsoft Sysmon determinará si un archivo es un ejecutable según el encabezado del archivo. Por lo tanto, Sysmon también bloqueará los ejecutables DLL y SYS, ya que estos utilizan el mismo encabezado de archivo MZ. 

Para aquellos que desean un archivo de configuración de Sysmon prefabricado que use esta función para bloquear malware conocido y herramientas de pirateo, puede hacer uso de uno creado por el investigador de seguridad Florian Roth.

¿Qué opinas al respecto de la nueva herramienta, Microsoft Sysmon? No hay duda alguna que cada día el gigante tecnológico busca ofrecer nuevas y mejoradas herramientas para nuestra seguridad, logrando así mantener a todos sus usuarios seguros mientras navegan por internet.