Microsoft добавила в Sysmon детектирование внедрения в процессы Windows

Екатерина Быстрова 12 Января 2021 - 13:27

Домашние пользователи

Корпорации

Windows

Microsoft

Защита персональных компьютеров

...

Microsoft добавила в Sysmon детектирование внедрения в процессы Windows

Microsoft выпустила версию утилиты Sysmon под номером 13, которая отметилась интересной функцией для борьбы с действиями вредоносных программ. Теперь инструмент может выявлять несанкционированное внедрение в процессы операционной системы Windows.

Киберпреступники часто прибегают к инъекции вредоносного кода в легитимные процессы, что помогает им избежать детектирования антивирусными средствами. То есть по факту вредоносная программа выполняется, а в Диспетчере задач Windows мы видим стандартный процесс ОС.

Например, злоумышленники используют технику «process hollowing» («выдалбливание процесса»), подразумевающую, что вредонос запускает легитимный процесс, а затем подменяет безобидный код злонамеренным. Таким образом, код зловреда выполняется с полными правами процесса-родителя.

«Process herpaderping» — более сложный метод, с помощью которого вредоносная программа модифицирует свой образ на диске, маскирую его под легитимный софт. В этом случае антивирусные средства, сканируя диск, увидят лишь безопасный файл, хотя в память будет загружен вредоносный код.

Многие известные зловреды успешно используют технику внедрения в легитимные процессы. Среди них можно отметить программу-вымогатель Mailto/defray777, а также бэкдоры TrickBot и BazarBackdoor.

Для борьбы с этими методами Microsoft выпустила новую версию утилиты Sysmon, входящей в набор Sysinternals. Инструмент можно скачать со страницы Sysinternal или по прямой ссылке.

Чтобы активировать детектирование внедрения в процессы, администраторам нужно добавить опцию «ProcessTampering» в файл конфигурации:

<Sysmon schemaversion="4.50">
  <EventFiltering>
    <RuleGroup name="" groupRelation="or">
      <ProcessTampering onmatch="exclude">
      </ProcessTampering>
    </RuleGroup>
  </EventFiltering>
</Sysmon>

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 14:34

Корпорации Группа Rubytech

Rubytech представила новую систему серверной виртуализации Скала^р МДИ.В

Группа Rubytech анонсировала новую Машину динамической инфраструктуры «Скала^р МДИ.В» — программно-аппаратный комплекс для серверной виртуализации, рассчитанный на корпоративные и государственные ИТ-системы. Новинка пришла на смену предыдущей модели «Скала^р МВ.С».

По сути, речь идёт о платформе для запуска и управления большим количеством виртуальных серверов на одном наборе оборудования.

Она рассчитана на сценарии, где важны высокая нагрузка, отказоустойчивость и возможность постепенно расширять инфраструктуру без остановки сервисов.

В основе решения — серверное оборудование на процессорах нового поколения и программная платформа Basis Dynamix Standard, которая отвечает за виртуализацию и устойчивость среды.

Комплекс поддерживает как классические системы хранения, так и гиперконвергентные программно-определяемые хранилища, так что заказчики могут выбирать подходящий вариант под свои задачи и масштаб.

Один из ключевых акцентов в новой версии сделан на производительности. По заявленным характеристикам, в HCI-режиме система может работать в 5–6 раз быстрее ряда аналогичных решений, а при тестировании на NVMe-накопителях показала до 2 млн операций ввода-вывода в секунду на один вычислительный узел.

Отдельно Rubytech делает ставку на отказоустойчивость. Если один из серверов выходит из строя, нагрузка должна автоматически переноситься на другие узлы. Также заявлена возможность быстро переключаться на резервные площадки в случае более серьёзных сбоев — например, если проблемы возникли на уровне дата-центра.

С точки зрения управления инфраструктурой платформа рассчитана на централизованный контроль через веб-интерфейс и связанные инструменты администрирования. Это должно упростить работу с серверами, хранилищами и виртуальными машинами в одной консоли.

Ещё один важный блок — информационная безопасность. В описании решения говорится о соответствии требованиям ФСТЭК России и возможности использования системы в государственных информационных системах, в ИСПДн с первым уровнем защищённости, а также на значимых объектах КИИ первой категории.

В компании также отмечают, что новая платформа уже использовалась как основа для других решений, в том числе для банковских систем и специализированной инфраструктуры для конструкторских бюро. То есть речь идёт не просто о лабораторной разработке, а о продукте, который Rubytech уже пытается встроить в более широкую линейку своих ИТ-решений.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!