Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Erkennung fortgeschrittener Prozessmanipulationstaktiken mit Sysmon v13

Erkennung fortgeschrittener Prozessmanipulationstaktiken mit Sysmon v13

Jul 6, 2023

Sysmon ist eine Komponente der Sysinternals Suite von Microsoft, einem umfassenden Set von Tools zur Überwachung, Verwaltung und Fehlerbehebung von Windows-Betriebssystemen. Version 13 von Sysmon führte die Überwachung für zwei fortgeschrittene Malware-Taktiken ein: Process Hollowing und Herpaderping. Dieser Artikel erklärt, was diese Taktiken sind, warum sie so gefährlich sind und wie Sie sie jetzt mit Sysmon erkennen können.

Was sind Process Hollowing und Herpaderping?

Sysmon Version 13 führte die Überwachung für zwei fortgeschrittene Malware-Taktiken ein:

  • Process hollowing– Dient dazu, Code in einem Windows-Prozess durch bösartigen Code zu ersetzen, sodass der bösartige Code unter dem Deckmantel eines legitimen Windows-Prozesses ausgeführt wird. Diese Taktik ist seit Jahren bekannt.
  • Prozess-Herpaderping – Wird verwendet, um den Inhalt eines Prozesses auf der Festplatte zu ändern, nachdem das Abbild zugeordnet wurde, sodass die Datei auf der Festplatte wie der vertrauenswürdige Prozess erscheint, während schädlicher Code im Speicher ausgeführt wird. Dies ist eine relativ neue Technik.

Beide dieser Taktiken können ernsthaften Schaden verursachen. Stellen Sie sich zum Beispiel vor, dass der Prozess Herpaderping verwendet wurde, um Mimikatz unter einem legitimen Prozess eines Webbrowsers (z.B. Google Chrome) auszuführen. Für das Betriebssystem würde es erscheinen, als ob Google Chrome (und nicht Mimikatz) läuft — und der Prozess hätte sogar eine gültige Google-Signatur! Ein Angreifer, der Mimikatz ausführt, könnte also völlig unentdeckt bleiben, es sei denn, Sie haben Sicherheitssoftware, die speziell auf die Überwachung von Prozess Herpaderping ausgerichtet ist.

Darüber hinaus muss die Nutzlast nicht Mimikatz sein — Angreifer könnten diese Taktik nutzen, um alles, was sie möchten, in Ihrem Netzwerk auszuführen: TrickBot, Emotet, Ryuk, Mirai usw. Daher ist es äußerst wertvoll, dass Sysmon nun in der Lage ist, diese Taktiken zu erkennen.

Wie zeichnet Sysmon 13 Process Hollowing und Process Herpaderping auf?

Sysmon 13 kann sowohl Process Hollowing als auch Process Herpaderping Angriffe erkennen. Sie werden im Windows Ereignisanzeige als Ereignis-ID 25, Prozessmanipulation, protokolliert:

Image
Image

Bilder mit freundlicher Genehmigung von Mark Russinovichs öffentlichem Twitter-Konto (Autor von Sysmon über Sysinternals)

Sysmon 13 konfigurieren, um Process Hollowing und Process Herpaderping zu erkennen

Führen Sie die folgenden Schritte aus, um Sysmon zu installieren und das Monitoring für Process Hollowing und Process Herpaderping zu konfigurieren:

  1. Download Sysmon, entpacken Sie die Datei und führen Sie Sysmon.exe in einer Eingabeaufforderung mit erhöhten Rechten aus:
      >> Sysmon.exe -i -accepteula

System Monitor v13.01 - System activity monitor

Copyright (C) 2014-2021 Mark Russinovich and Thomas Garnier

Sysinternals - www.sysinternals.com

Sysmon installed.

SysmonDrv installed.

Starting SysmonDrv.

SysmonDrv started.

Starting Sysmon..

Sysmon started.
  • Die Standardinstallation beinhaltet keine Überwachung und Protokollierung für Prozessmanipulationen (Ereignis-ID 25), daher müssen wir unsere Sysmon-Konfiguration aktualisieren. Hier ist eine sehr grundlegende Sysmon-Konfigurations-XML, die einen Ereignisfilter für Prozessmanipulationen enthält; speichern Sie sie als Sysmon.XML.
      <Sysmon schemaversion="4.50">

  <EventFiltering>

       <ProcessTampering onmatch="exclude">

       </ProcessTampering>

  </EventFiltering>

</Sysmon>
  • Navigieren Sie im erweiterten Befehlsfenster zum Verzeichnis, das die Datei enthält, und laden Sie die Konfiguration mit folgendem Befehl:
      >> sysmon.exe -c Sysmon.xml

System Monitor v13.01 - System activity monitor

Copyright (C) 2014-2021 Mark Russinovich and Thomas Garnier

Sysinternals - www.sysinternals.com

Loading configuration file with schema version 4.50

Configuration file validated.

Configuration updated.

Beispiel für Sysmon 13 beim Erkennen von Process Herpaderping

Jetzt testen wir unsere Konfiguration.

Ausführung eines Process Herpaderping-Angriffs

Zuerst werden wir die Herpaderping-Technik verwenden, die hier gefunden wurde, um Mimikatz unter dem Deckmantel des Google Chrome-Prozesses (chrome.exe) auszuführen.

Wichtig: Beachten Sie, dass der Versuch, den Prozess Herpaderping durchzuführen, Zielprozesse funktionsunfähig machen kann. Bitte gehen Sie vorsichtig vor und testen Sie Sicherheits- und Malware-Techniken immer in sicheren Sandbox-Umgebungen.

Zuerst laden wir ProcessHerpaderping.exe über den oben genannten Link herunter. Anschließend führen wir den folgenden Befehl in einer Eingabeaufforderung mit Administratorrechten aus dem Verzeichnis aus, das diese Datei enthält:

      >> ProcessHerpaderping.exe mimikatz.exe "\Program Files\Google\Chrome\Application\chrome.exe"
Image

Wir haben mimikatz.exe erfolgreich aus chrome.exe (einem weit verbreiteten vertrauenswürdigen Prozess) ausgeführt und die Überprüfung des chrome.exe-Prozesses zeigt eine gültige Google-Signatur:

Image

Sysmon 13 erkennt den Herpaderping-Prozessangriff

Allerdings haben wir dank unserer Sysmon 13-Konfiguration diese bösartige Aktivität sofort erkannt:

Image

Diese Informationen sind äußerst wertvoll und können an Administratoren und Ihr security information and event management (SIEM)-Tool über Windows Event Forwarding (WEF) gesendet werden.

Deinstallation von Sysmon

Wenn Sie Sysmon nur zu Testzwecken installiert haben, können Sie es mit dem folgenden Befehl deinstallieren:

      >> Sysmon.exe -u

System Monitor v13.01 - System activity monitor

Copyright (C) 2014-2021 Mark Russinovich and Thomas Garnier

Sysinternals - www.sysinternals.com

Stopping Sysmon.

Sysmon stopped.

Sysmon removed.

Stopping SysmonDrv.

SysmonDrv stopped.

SysmonDrv removed.

Removing service files.

Wie Netwrix helfen kann

Netwrix Threat Prevention ist eine leistungsstarke Cybersecurity-Lösung, die Ihrem Unternehmen dabei helfen kann, sich vor fortgeschrittenen Malware-Taktiken zu schützen. Sie kann effektiv authentifizierungsbasierte und Dateisystemangriffe, Missbrauch von Privileged Accounts, kritische Änderungen in der IT-Umgebung, Aktivitäten, die auf Aufklärungsversuche von Eindringlingen hindeuten, und vieles mehr identifizieren. Ihre ausgefeilten Fähigkeiten ermöglichen es ihr, spezifische Bedrohungen zu erkennen, wie Versuche, bösartigen Code in den LSASS-Prozess einzuschleusen, Windows SSP-Injektionsangriffe und DCSync-Angriffe. Indem sie diese Bedrohungen proaktiv identifiziert und verhindert, bietet diese Software einen umfassenden Schutz gegen selbst die fortschrittlichsten Cyberangriffe und stellt sicher, dass die sensiblen Daten und Systeme Ihrer Organisation sicher bleiben.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Joe Dibley

Sicherheitsforscher

Security Researcher bei Netwrix und Mitglied des Netwrix Security Research Teams. Joe ist ein Experte für Active Directory, Windows und eine Vielzahl von Unternehmenssoftwareplattformen und -technologien. Joe erforscht neue Sicherheitsrisiken, komplexe Angriffstechniken sowie zugehörige Milderungs- und Erkennungsmaßnahmen.

Erfahren Sie mehr zu diesem Thema

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Active Directory-Attribute: Letzte Anmeldung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen