Некоторые методы, которые злоумышленники используют для обхода мониторинга Sysmon:

• Нарушение транспортировки событий. 1 Хакеры могут запретить на межсетевом экране исходящий трафик с узла к серверу-коллектору логов или модифицировать конфигурационные файлы, например, изменить порт или адрес системы сбора событий. 1
• Манипуляции с подсистемой Event Tracing for Windows (ETW). 2 С её помощью злоумышленники могут «ослепить» средства мониторинга Sysmon, например, выключить провайдеры сессии SysmonDnsEtwSession, изменить флаги сессии SYSMON TRACE или манипулировать дескрипторами безопасности сессии EventLog-Microsoft-Windows-Sysmon-Operational. 2
• Использование инструмента Invoke-Phant0m. 3 Этот сценарий просматривает стеки потоков процесса службы журнала событий и определяет, какие из потоков подлежат уничтожению. 3 В результате система не сможет собирать журналы, но служба журнала событий будет работать. 3

Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону. 2