Nmedia - Fotolia

Sysmon – Malware und verdächtige Aktivitäten aufspüren

Microsoft hat eine neue Version seines Sicherheits-Tools Sysmon veröffentlicht. Admins können so Malware oder verdächtige Aktivitäten aufspüren.

Microsoft hat die Version 4.0 seines kostenlosen Sysinternal-Tool Sysmon veröffentlicht. Sysmon arbeitet als Windows-Dienst und zeichnet Systemaktivitäten im Ereignisprotokoll auf.

So lassen sich diese Aufzeichnungen auch in SIEM-Lösungen nutzen. Sysmon gehört zu den relativ jungen Bestandteilen der beliebten Windows Sysinternals und ist erst 2014 in der Version 1.0 erschienen.

Seit Ende April 2016 liegt die Version 4.0 des Tools von Mark Russinovich und Thomas Garnier vor. In der Version 4.0 wurde der Background-Monitor erweitert, zudem stehen nun mehr Filterfunktionen zur Verfügung.

Da Sysmon als Windows-Dienst arbeitet, ist er im eigentlichen Sinne sehr früh während des Hochfahrens am Start, um Ereignisse aufzuzeichnen. Auf diese Weise sollte sich das Tool auch nicht durch Malware aus dem Rennen werfen lassen. Jeder Start eines neuen Prozesses wird aufgezeichnet, inklusive der kompletten Befehlszeile sowie eines Hashs für die zugehörige EXE-Datei und Informationen zum Vaterprozess.

Wenn ein Windows-Prozess das Erstellungs- beziehungsweise Änderungsdatum einer Datei verändert, wird dies von Sysmon registriert. So könnte ein Angreifer versuchen, das Erstellungsdatum einer Datei zu verändern, damit es so aussieht, als sei sie mit dem Betriebssystem installiert worden.

Optional kann Sysmon auch Ereignisse zu Netzwerkverbindungen erfassen. Wird dies eingeschaltet, so werden Quell- und Ziel-IP-Adressen sowie Ports registriert, ebenso wie der IPv6-Status.

Abbildung 1: Sysmon wird als Windows-Dienst auf der Kommandozeile installiert. Die gesammelten Daten erscheinen in der Ereignisanzeige von Windows.

Datensammler für SIEM

Der Download ist in bewährter Sysinternal-Manier übersichtlich: In der weniger als 1 MByte großen ZIP-Datei finden sich nur die beiden ausführbaren Dateien (32 und 64 Bit) sowie die EULA. Die Installation ist selbstredend nur mit Administrator-Rechten möglich und erfolgt auf der Kommandozeile oder in der PowerShell mit:

sysmon.exe -i

Die Konfiguration wird im XML-Format abgelegt und lässt sich so per Befehlszeile leicht übergeben. Apropos Befehlszeile, soll Sysmon remote beispielsweise via PowerShell installiert werden, lässt sich per Parameter(-accepteula)das erforderliche Abnicken der Lizenzbedingungen automatisieren.

Sysmon 4.0 läuft auf Windows-Clients mit Windows 7 oder höher und auf Windows Server 2012 oder neueren Versionen. Sysmon selbst ist kein Analyse-Tool, sondern eher Datensammler. Über die Windows-Ereignisanzeige oder eine SIEM-Lösung lassen sich die gesammelten Log-Daten dann auswerten. Ohne weitere Tools gestaltet sich eine Analyse eher schwierig. Auf der RSA Konferenz 2016 hat Mark Russinovich selbst eine Präsentation (PowerPoint online) vorgestellt, wie man mit Sysmon verdächtigen Aktivitäten auf die Spur kommt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close