Estimados amigos de Inseguros !!!
En esta ocasión vamos a hablar de nuestro querido SYSMON. En concreto de la última actualización 14 que traer, entre otras cosas, una nueva función denominada FileBlockExecutable. Es un nuevo evento, 27, pero que aparte bloquea que se guarde en disco ficheros ejecutables, según nuestra directiva.
Pero lo más interesante es que no solo podemos comprobar la ubicacíon, sino cualquier parámetro de los habituales que nos da Sysmon, por ejemplo, proceso padre, hash, etc.
Es decir, que puedes identificar el proceso Powershell.exe y bloquear que no se baje ningún executable... Hay ya muchos ficheros de configuración con estas ideas, como el de Florian Roth
Por si acaso, vamos con la instalación...
Entramos en Sysmon, lo bajamos, descomprimimos. Antes de instalarlo como servicio, debemos crear/bajar/fusilar un fichero de configuración, las reglas, en la que va la autentica inteligencia de Sysmon.
En este caso, para esta función, indicaremos qué directorio del sistema queremos proteger de la escritura de un ejecutable.
| <Sysmon schemaversion="4.82"> | |
| <EventFiltering> | |
| <RuleGroup name="" groupRelation="or"> | |
| <FileBlockExecutable onmatch="include"> | |
| <TargetFilename condition="contains all">C:\pruebas\</TargetFilename> | |
| </FileBlockExecutable> | |
| </RuleGroup> | |
| </EventFiltering> | |
| </Sysmon> |
Ahora instalamos .\Sysmon.exe -accepteula -i sysmon.xml
Ahora probamos a copiar, por ejemplo, el propio sysmon.exe en la carpeta y no nos deja. No da fallo, pero no te deja.
Si vas al visor de eventos, puedes ver el log.
He mirado a ver si es el orden de carga de algún driver de Chrome o algo así, como vimos en el post para esconder Sysmon, pero nada.
Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.