Recientemente Microsoft ha liberado Sysmon v15.0 la cual agrega, entre otras funcionalidades, la nueva opción “FileExecutableDetected”, esta funcionalidad permite detectar cuando se ha creado un archivo ejecutable en los sistemas donde se incorpora.
System Monitor o Sysmon, es un servicio presente en los sistemas de Windows que permite el monitoreo y registra actividades dentro del sistema mediante el registro de eventos de Windows (event log). Por defecto, Sysmon monitorea eventos básicos que van desde la creación de un nuevo proceso hasta la terminación de procesos.
Sin embargo, sysmon permite la creación de configuraciones de archivos mas avanzados, los cuales permiten el monitoreo de otro tipo de comportamientos, como la eliminación de archivos, cambios en el portapapeles de Windows, entre muchas otras funcionalidades.
Mediante la ejecución del comando -s en la línea de comandos, como se aprecia en la imagen anterior, un usuario puede acceder a la lista completa de directivas en el esquema de Sysmon. El 27 de junio, Microsoft ha liberado la Sysmon v15.0 la cual, entre sus novedades se encuentran la integración de dos funcionalidades: el endurecimiento (hardening) del programa convirtiéndolo en un proceso protegido y la capacidad para detectar cuando se ha creado un archivo (Event ID 29: FileExecutalbeDetected).
Debido a que Sysmon es una herramienta útil a la hora de detectar comportamiento malicioso en el sistema, el interés de los actores maliciosos para manipular o deshabilitar el software es una amenaza constante.
Esto es un hecho que Microsoft sabe muy bien y que ha cubierto en esta última versión liberada. Mediante la versión 15.0 Microsoft ha convertido el ejecutable de Sysmon.exe en un proceso protegido, con la finalidad de prevenir cualquier tipo de acción contra el software como la inyección de código malicioso en este.
En palabras de Microsoft, cuando es servicio es ejecutado Windows hace uso de la integridad de código para así permitir que solo código confiable sea cargado al servicio protegido. El usuario puede observar si es un proceso protegido mediate el explorador de procesos y examinar sus propiedades de seguridad, como se muestra a continuación.
Como se mencionó más arriba en este artículo, otra de las novedades que integra Sysmon v15.0 es la función de detectar cuando un archivo ejecutable ha sido creado, esto integrado en el esquema de Sysmon v4.90, como tal, la opción de configuración se denomina “FileExecutableDetected” con ID de evento número 29.
Un ejemplo de uso seria, en la detección de un nuevo ejecutable creado en la ruta C:ProgramData and C:Users el usuario podría hacer uso de la siguiente configuración
Para que sysmon pueda utilizar la configuración del ejemplo anterior, propuesto por Medium, es usuario necesitaría ejecutar el comando “sysmon -i” y pasar el nombre del archivo de configuración, para el ejemplo anterior el nombre es “sysmon.conf” de manera que el comando quedaría de la siguiente forma: “sysmon -i sysmon.conf” una vez iniciado, Sysmon comenzara a instalar el driver y recolectara la información en segundo plano de manera silenciosa.
Todos los eventos de Sysmon se registrarán en “Applications and Services Logs/Microsoft/Windows/Sysmon/Operational” en el visor de eventos. Cuando la funcionalidad de “FileExecutableDetected” habilitada, en caso de detectarse, Sysmon bloqueará el archivo creado y generará el evento ID 29, como se muestra a continuación.
Esto nos presentara la siguiente información:
- UtcTime: Hora a la que se detectó el evento.
- ProcessID: El PID del proceso que intenta crear el fichero ejecutable.
- User: El usuario asociado al proceso que crea el fichero.
- Imagen: El nombre de archivo del programa que crea el archivo.
- TargetFilename: El archivo ejecutable que se creó. Podría aparecer como archivo temporal
- Hash: El hash del fichero que se estaba creando.
Sysmon resulta ser una gran herramienta para los analistas de ciber seguridad, pues permite una gran cantidad de directivas que permiten al usuario la creación de archivos que se ajustan a cada una de las necesidades especificas de una empresa u organización. Sin embargo, la complejidad del mismo, sumado a la falta de documentación puede resultar en una utilización del mismo no optimizada pues se basa en prueba y error, mediate el cual el usuario puede probar cada funcionalidad y qué eventos se escriben en el registro de eventos.
