마이크로소프트는 새 버전 Sysinternals 패키지를 출시하면서 Sysmon 유틸리티에 헤르패더핑(Herpaderping), 할로잉(Hollowing) 공격을 감지하는 기능을 추가했다고 밝혔다.

Sysinternals는 시스템 관리자가 윈도우 컴퓨터를 디버깅하거나 보안 연구원이 멀웨어 공격을 추적하고 조사하는데 도움이 되도록 설계된 앱 모음이다. Sysinternals 패키지에는 각각 특정 작업에 유용한 160개 이상의 다양한 앱이 함께 제공된다.

가장 널리 사용되는 Sysinternal 앱 중 하나는 시스템 수준 이벤트(프로세스 생성, 네트워크 연결 및 파일 생성 시간 변경)를 기본 윈도우 이벤트 로그에 기록하는 방식으로 작동하는 Sysmon이다.

수년에 걸쳐 이 도구는 네트워크 방어에 관여하거나 디지털 포렌식 및 사고 대응(DFIR) 작업을 수행하는 모든 보안 연구원에게 필수였다. 이는 Sysmon이 심층 로그를 기록한 다음 특정 프로세스 및 앱에 대한 악성 공격의 근원을 추적할 수 있도록 하기 때문이다.

마이크로소프트는 오늘 Sysmon 13.00이 출시됨에 따라 이제 Sysmon 앱이 멀웨어가 합법적인 프로세스를 조작할 때 이를 감지하고 기록할 수 있다고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★