Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Détection des tactiques avancées de manipulation de processus avec Sysmon v13

Détection des tactiques avancées de manipulation de processus avec Sysmon v13

Jul 6, 2023

Sysmon est un composant de la suite Sysinternals de Microsoft, un ensemble complet d'outils pour surveiller, gérer et dépanner les systèmes d'exploitation Windows. La version 13 de Sysmon a introduit la surveillance de deux tactiques avancées de malwares : le process hollowing et le herpaderping. Cet article explique ce que sont ces tactiques, pourquoi elles sont si dangereuses et comment vous pouvez maintenant les détecter à l'aide de Sysmon.

Qu'est-ce que le Process Hollowing et le Herpaderping ?

La version 13 de Sysmon a introduit la surveillance de deux tactiques avancées de logiciels malveillants :

  • Process hollowing– Utilisé pour remplacer le code dans un processus Windows par du code malveillant, de sorte que le code malveillant s'exécute sous l'apparence d'un processus Windows légitime. Cette tactique existe depuis des années.
  • Traiter l'herpaderping – Utilisé pour modifier le contenu d'un processus sur le disque après que l'image ait été mappée, de sorte que le fichier sur le disque semble être le processus de confiance tandis que le code malveillant s'exécute en mémoire. Il s'agit d'une technique relativement nouvelle.

Ces deux tactiques peuvent causer des dommages sérieux. Par exemple, supposons que le processus herpaderping soit utilisé pour exécuter Mimikatz sous un processus légitime de navigateur web (par exemple, Google Chrome). Il semblerait pour le système d'exploitation que Google Chrome (plutôt que Mimikatz) est en cours d'exécution — et le processus aurait même une signature Google valide ! Ainsi, un attaquant exécutant Mimikatz pourrait rester complètement non détecté à moins que vous n'ayez un logiciel de sécurité qui surveille spécifiquement le processus herpaderping.

De plus, la charge utile n'a pas besoin d'être Mimikatz — les acteurs malveillants pourraient utiliser cette tactique pour exécuter tout ce qu'ils veulent dans votre réseau : TrickBot, Emotet, Ryuk, Mirai, etc. Par conséquent, le fait que Sysmon puisse maintenant détecter ces tactiques est inestimable.

Comment Sysmon 13 enregistre-t-il le Process Hollowing et le Process Herpaderping ?

Sysmon 13 peut détecter à la fois les attaques de process hollowing et de process herpaderping. Elles sont enregistrées dans l'Observateur d'événements Windows sous l'ID d'événement 25, Altération de processus :

Image
Image

Images gracieuseté de Mark Russinovich’s public Twitter account (auteur de Sysmon via Sysinternals)

Configurer Sysmon 13 pour détecter le Process Hollowing et le Process Herpaderping

Suivez les étapes suivantes pour installer Sysmon et configurer la surveillance pour l'évidement de processus et le herpaderping de processus :

  1. Téléchargez Sysmon, décompressez le fichier et exécutez Sysmon.exe dans une invite de commande avec élévation de privilèges :
      >> Sysmon.exe -i -accepteula

System Monitor v13.01 - System activity monitor

Copyright (C) 2014-2021 Mark Russinovich and Thomas Garnier

Sysinternals - www.sysinternals.com

Sysmon installed.

SysmonDrv installed.

Starting SysmonDrv.

SysmonDrv started.

Starting Sysmon..

Sysmon started.
  • L'installation par défaut n'inclut pas la surveillance et la journalisation pour la falsification de processus (Event ID 25), donc nous devons mettre à jour notre configuration Sysmon. Voici un XML de configuration Sysmon très basique qui comprend un filtre d'événement pour la falsification de processus ; enregistrez-le sous le nom de Sysmon.XML.
      <Sysmon schemaversion="4.50">

  <EventFiltering>

       <ProcessTampering onmatch="exclude">

       </ProcessTampering>

  </EventFiltering>

</Sysmon>
  • Accédez au répertoire contenant le fichier dans une invite de commande avec élévation de privilèges et chargez la configuration avec la commande suivante :
      >> sysmon.exe -c Sysmon.xml

System Monitor v13.01 - System activity monitor

Copyright (C) 2014-2021 Mark Russinovich and Thomas Garnier

Sysinternals - www.sysinternals.com

Loading configuration file with schema version 4.50

Configuration file validated.

Configuration updated.

Exemple de Sysmon 13 détectant le processus Herpaderping

Testons maintenant notre configuration.

Exécution d'une attaque de Process Herpaderping

Tout d'abord, nous utiliserons la technique de process herpaderping trouvée ici pour exécuter Mimikatz sous l'apparence du processus de Google Chrome (chrome.exe).

Important : Gardez à l'esprit que tenter le processus herpaderping peut rendre les processus cibles inopérants. Veuillez procéder avec prudence et toujours tester les techniques de sécurité et de lutte contre les logiciels malveillants dans des environnements sandbox sécurisés.

Tout d'abord, nous téléchargerons ProcessHerpaderping.exe depuis le lien ci-dessus. Ensuite, en utilisant une invite de commande élevée depuis le répertoire contenant ce fichier, nous exécuterons la commande suivante :

      >> ProcessHerpaderping.exe mimikatz.exe "\Program Files\Google\Chrome\Application\chrome.exe"
Image

Nous avons exécuté avec succès mimikatz.exe depuis chrome.exe (un processus largement approuvé) et la vérification du processus chrome.exe montre une signature Google valide :

Image

Sysmon 13 détectant l'attaque par processus Herpaderping

Cependant, grâce à notre configuration Sysmon 13, nous avons immédiatement détecté cette activité malveillante :

Image

Ceci est une information extrêmement précieuse qui peut être envoyée aux administrateurs et à votre security information and event management (SIEM) via Windows Event Forwarding (WEF).

Désinstallation de Sysmon

Si vous avez installé Sysmon uniquement à des fins de test, vous pouvez le désinstaller en utilisant la commande suivante :

      >> Sysmon.exe -u

System Monitor v13.01 - System activity monitor

Copyright (C) 2014-2021 Mark Russinovich and Thomas Garnier

Sysinternals - www.sysinternals.com

Stopping Sysmon.

Sysmon stopped.

Sysmon removed.

Stopping SysmonDrv.

SysmonDrv stopped.

SysmonDrv removed.

Removing service files.

Comment Netwrix peut aider

Netwrix Threat Prevention est une solution de cybersécurité puissante qui peut vous aider à protéger votre organisation contre les tactiques de malwares avancées. Elle peut identifier efficacement les attaques basées sur l'authentification et sur le système de fichiers, l'abus de comptes à privilèges, les modifications critiques apportées à l'environnement informatique, les activités indiquant une reconnaissance par les intrus, et bien plus encore. Ses capacités sophistiquées lui permettent de détecter des menaces spécifiques, telles que les tentatives d'injection de code malveillant dans le processus LSASS, les attaques d'injection Windows SSP, et les attaques DCSync. En identifiant et en prévenant proactivement ces menaces, ce logiciel offre une défense complète contre les cyberattaques les plus avancées, assurant ainsi que les données sensibles et les systèmes de votre organisation restent sécurisés.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

En savoir plus sur ce sujet

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Attributs Active Directory : Dernière connexion

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité