Microsoft Sysmon теперь блокирует создание вредоносных EXE в Windows

Microsoft Sysmon теперь блокирует создание вредоносных EXE в Windows

Microsoft Sysmon теперь блокирует создание вредоносных EXE в Windows

Microsoft выпустила новую версию одного из своих инструментов для отслеживания состояния системы — Sysmon 14. Этот релиз отметился новой функцией “FileBlockExecutable“, которая способна блокировать создание вредоносных исполняемых файлов в форматах EXE, DLL и SYS.

По словам разработчиков, нововведение станет мощным инструментом для системных администраторов, обеспечивая лучшую защиту от вредоносных программ. Блокировка потенциально опасных файлов осуществляется по ряду критериев:

  • Путь файла.
  • Соответствие конкретному хешу.
  • Факт дропа в систему другими исполняемыми файлами.

Например, если имеется список известных хешей вредоносов, Sysmon можно настроить на блокировку создания файлов с соответствующими хешами. Если же вы хотите запретить вложениям в виде документов Office устанавливать зловреды в систему, вы можете блокировать создание исполняемых файлов программами Word и Excel.

Утилита Sysmon распространяется абсолютно бесплатно и входит в популярный пакет Microsoft Sysinternals. С её помощью администраторы и пользователи могут мониторить систему и просматривать логи на предмет вредоносной активности.

Sysmon, помимо прочего, может фиксировать создание процессов, однако злоумышленники вполне могут создать файл с дополнительными опциями, которые будут обходить блокировки Sysmon.

В текущую версии утилиты (4.82) разработчики добавили функцию “FileBlockExecutable“, позволяющую настраивать блокировку исполняемых файлов на основе пути, хеша и программы, которая пытается создать этот файл.

 

Чтобы запретить приложению Microsoft Office создавать исполняемые файлы, можно воспользоваться правилом, которое представил Олаф Хартонг. Вообще, специалист отлично описал новые возможности Microsoft Sysmon.

Тем не менее функциональность FileBlockExecutable уже успели обойти, о чём рассказал Адам Честер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Innostage CyberART зафиксировал за начало 2025 года 297 утечек данных

Центр противодействия киберугрозам Innostage SOC CyberART в первом квартале 2025 года выявил 297 инцидентов, связанных с распространением персональных данных. В открытом доступе оказалось 10,4 миллиона адресов электронной почты.

Пик утечек пришёлся на январь — только за первый месяц года было зафиксировано 200 инцидентов.

По мнению аналитиков, это связано с активностью злоумышленников после новогодних каникул, а также с реализацией угроз, подготовленных ранее. В частности, одна из крупных утечек затронула 404 компании.

Наибольший объём скомпрометированных данных зафиксирован в государственном секторе — 3,7 миллиона адресов, из которых 2,8 миллиона приходятся на одну организацию. Второе место занимает розничная торговля — 1,7 миллиона адресов. Из общего числа инцидентов 265 связаны с компаниями малого и среднего бизнеса.

«Для многих организаций защита персональных данных до сих пор остаётся разрозненной задачей, а не элементом целостной стратегии. В госсекторе масштабы утечек обусловлены объёмами обрабатываемых баз. У малого бизнеса — нехваткой ресурсов и отсутствием зрелых процессов информационной безопасности. При этом компании часто недооценивают риски при взаимодействии с внешними подрядчиками, — комментирует Александр Чернов, руководитель направления киберразведки Innostage SOC CyberART. — Однако именно работа над этими уязвимостями позволяет выстроить устойчивую систему защиты и значительно снизить вероятность повторения подобных инцидентов».

Заместитель руководителя Роскомнадзора Милош Вагнер на пресс-конференции «Утечки данных как социально-экономическая проблема» отметил, что одной из ключевых причин атак остаются большие объёмы персональных данных и хроническое несоблюдение требований закона об их уничтожении после выполнения целей обработки.

Более чем в 90% инцидентов злоумышленники получали доступ к базовым персональным данным: адресам электронной почты, номерам телефонов, ФИО и адресной информации. Однако были зафиксированы случаи компрометации более чувствительных данных — паспортных данных, ИНН, СНИЛС, платёжной информации и хешей паролей. При этом паспортные данные, ИНН и СНИЛС преимущественно утекали из государственных учреждений, тогда как данные банковских карт и пароли — из розничной торговли.

Основными векторами атак стали фишинг и методы социальной инженерии, с помощью которых злоумышленники получали доступ к учётным записям сотрудников. На втором месте — эксплуатация уязвимостей, на третьем — атаки на цепочки поставок.

По прогнозам Innostage, в 2025 году ситуация в лучшем случае стабилизируется. Тем не менее существует высокий риск роста числа инцидентов из-за активного использования искусственного интеллекта злоумышленниками, снижения порога входа и слабой защищённости, особенно среди компаний малого и среднего бизнеса. Вместе с тем развитие предиктивной аналитики и ужесточение регулирования в сфере защиты персональных данных способны ограничить этот рост.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru