Какие методы используют злоумышленники для обхода мониторинга Sysmon?

Некоторые методы, которые злоумышленники используют для обхода мониторинга Sysmon:

• Нарушение транспортировки событий. ptresearch.media Хакеры могут запретить на межсетевом экране исходящий трафик с узла к серверу-коллектору логов или модифицировать конфигурационные файлы, например, изменить порт или адрес системы сбора событий. ptresearch.media
• Манипуляции с подсистемой Event Tracing for Windows (ETW). xakep.ru С её помощью злоумышленники могут «ослепить» средства мониторинга Sysmon, например, выключить провайдеры сессии SysmonDnsEtwSession, изменить флаги сессии SYSMON TRACE или манипулировать дескрипторами безопасности сессии EventLog-Microsoft-Windows-Sysmon-Operational. xakep.ru
• Использование инструмента Invoke-Phant0m. telegra.ph Этот сценарий просматривает стеки потоков процесса службы журнала событий и определяет, какие из потоков подлежат уничтожению. telegra.ph В результате система не сможет собирать журналы, но служба журнала событий будет работать. telegra.ph

Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону. xakep.ru