È stato da poco pubblicato un nuovo e importante aggiornamento di Sysmon, utilità sviluppata da Mark Russinovich (CTO di Microsoft Azure) e Thomas Garnier (adesso ingegnere software presso Google dopo una lunga esperienza in Microsoft) e molto nota agli amministratori di sistema.
Dopo le novità introdotte meno di un anno fa (Capire a quali domini si collegano i programmi installati con il nuovo Sysmon) adesso Sysmon 11.0 – scaricabile gratuitamente a questo indirizzo – si arricchisce di una funzionalità “inedita” che consente di monitorare e archiviare, su qualunque sistema, tutti i file cancellati dall’utente e dai processi in esecuzione.
Sysmon offre un valido aiuto per esaminare eventuali attività malevole in corso sui sistemi e comprendere l’origine di un attacco informatico.
Quando gli aggressori fanno irruzione in una rete, infatti, sono soliti utilizzare una serie di strumenti per diffondersi lateralmente (si usa l’espressione “movimenti laterali” per riferirsi alle tecniche che consentono di propagare rapidamente un’infezione su PC, workstation e macchine server collegate a una stessa rete informatica: Sicurezza in azienda: le migliori soluzioni per la protezione degli endpoint).
Dopo aver ottenuto l’accesso completo a una rete e aver sottratto i più importanti dati sensibili e riservati altrui, gli aggressori spesso iniziare a distribuire malware più “comuni” per causare danni o ransomware per chiedere un riscatto in denaro cifrando tutti i file personali. Gli strumenti e i file collegati al funzionamento dei vari malware vengono poi rimossi in modo da non lasciare tracce.
Monitorando la cancellazione dei file, Sysmon può rendere molto più semplice risalire alla causa di un incidente.
Symon installa sulla macchina Windows un servizio di sistema e un driver che rimangono residenti rimanendo in esecuzione anche dopo un riavvio della macchina: tutte le attività rilevate vengono poi memorizzate nel registro degli eventi (vedere Registro eventi e monitoraggio affidabilità di Windows: a cosa servono).
L’ultima versione di Sysmon può essere istantaneamente utilizzata premendo la combinazione di tasti Windows+E
per aprire una finestra di Esplora file quindi digitando https://live.sysinternals.com
. Tra i vari eseguibili si troveranno anche Sysmon64.exe
(per le versioni di Windows a 64 bit) e Sysmon.exe
.