16/12/2024

Logiciel - OS

Microsoft : la nouvelle version de Sysmon peut détecter la création de fichiers exécutables !

Microsoft a mis en ligne une nouvelle version de l'outil Sysmon de l'excellente suite Sysinternals. Avec Sysmon 15 intègre une nouveauté importante : détecter et journaliser la création d'un nouvel exécutable sur la machine.

Pour ceux qui ne connaissent pas Sysmon, il s'agit d'un outil gratuit mis à disposition par Microsoft via la suite d'outils Sysinternals. Sysmon en lui-même va surveiller l'activité du système et générer des alertes dans le journal des événements de Windows, en fonction de l'activité de la machine.

Cet outil est personnalisable de façon à surveiller certaines actions spécifiques : création d'un nouveau processus, création d'un fichier, suppression d'un fichier, changement de la configuration système, etc... Pour étoffer encore un peu plus les capacités de cet outil, Microsoft a mis en ligne une nouvelle mouture : Sysmon 15.

Cette version intègre deux fonctionnalités majeures présentées dans la suite de cet article.

  • Exécution de Sysmon dans un processus protégé

Désormais, Sysmon est exécuté sur Windows en tant que processus protégé, afin qu'il ne soit pas possible d'injecter du code malveillant dans le processus, et qu'il soit plus difficile de le stopper. En effet, certains cybercriminels peuvent chercher à arrêter Sysmon puisqu'il peut détecter et journaliser les activités malveillantes. La protection anti-malware de Windows sera en charge de renforcer la sécurité du processus Sysmon.

  • Détecter les nouveaux fichiers exécutables

Sysmon 15 bénéficie d'une nouvelle version de son schéma pour lui offrir une capacité de détection supplémentaire via l'option "FileExecutableDetected". Sur une machine où la surveillance est activée, Sysmon 15 peut détecter si un nouvel exécutable est créé. Cette capacité de détection est pertinente car les exécutables sont souvent utilisés dans les cyberattaques.

Dans la configuration de Sysmon, il sera nécessaire de spécifier les répertoires à surveiller, par exemple sous la racine "C:\Users" ou dans "C:\Program Files". Ensuite, lorsqu'un nouvel exécutable sera créé, un événement sera généré sur la machine. Cet événement contiendra plusieurs informations comme la date et l'heure de l'événement, le PID du processus d'origine, l'utilisateur associé à ce processus, le nom du fichier exécutable, ainsi que le hash du fichier.

Pour en savoir plus sur cette nouvelle fonctionnalité, vous pouvez lire cet article très complet.

Envie de tester Sysmon ? C'est par ici :

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.