A Microsoft lançou o Sysmon 14 com uma nova opção 'FileBlockExecutable' que permite bloquear a criação de executáveis maliciosos, como arquivos EXE, DLL e SYS, para melhor proteção contra malware.
Esse recurso é uma ferramenta poderosa para administradores de sistema, pois permite bloquear a criação de executáveis com base em vários critérios, como o caminho do arquivo, se correspondem a hashes especÃficos ou são descartados por determinados executáveis.
Por exemplo, se você tiver uma lista de hashes de malware conhecidos, poderá configurar o Sysmon para bloquear a criação de executáveis que correspondam a esses hashes. Ou, se quiser impedir que anexos maliciosos do Office liberem malware, você pode interromper a criação de executáveis do Word ou Excel.
Bloqueando a criação executável no Sysmon
Para aqueles que não estão familiarizados com o Sysmon , ou System Monitor, é uma ferramenta gratuita da Microsoft Sysinternals que pode monitorar sistemas quanto a atividades maliciosas e registrar eventos no log de eventos do Windows.
O Sysmon monitorará eventos básicos, como criação de processos e alterações de hora do arquivo por padrão no Visualizador de eventos. No entanto, é possÃvel criar um arquivo de configuração personalizado contendo opções avançadas que determinam o que o Sysmon monitora ou bloqueia.
Os usuários podem encontrar a lista completa de diretivas no esquema Sysmon, que pode ser visualizada executando o comando sysmon -s na linha de comando.
O esquema atual do Sysmon é a versão 4.82, que agora inclui a opção de configuração 'FileBlockExecutable' para bloquear a criação de executáveis com base em seu caminho, nome, hash e o programa que está tentando criar os arquivos, conforme mostrado abaixo.
Por exemplo, para evitar que aplicativos do Microsoft Office criem novos arquivos executáveis, você pode usar esta regra compartilhada por Olaf Hartong em seu excelente artigo sobre a versão mais recente do Sysmon.
Essa regra, mostrada abaixo, bloqueará a criação de qualquer executável pelo Excel, Word, PowerPoint, Outlook, Access ou Publisher e registrará quaisquer eventos no Log de eventos com o nome "technique_id=T1105,technique_name=Ingress Tool Transfer".
Para iniciar o Sysmon e direcioná-lo para usar o arquivo de configuração acima, você deve executar o sysmon -i comando e passar o nome do arquivo de configuração.
Em nosso exemplo, o nome do arquivo de configuração é msoffice-fileblock.xml , portanto, usarÃamos o seguinte comando de um prompt de comando administrativo para iniciar o Sysmon:
sysmon -i msoffice-fileblock.xml