Sysmon (System Monitor) è una delle numerose utility sviluppate dal team Sysinternals di Microsoft. La nuova versione 14 include la funzionalità che permette di bloccare la scrittura su disco dei file eseguibili, come quelli dei malware. Questo potente tool per gli amministratori di sistema non può tuttavia garantire la massima protezione. È sempre consigliato l’uso di una soluzione di sicurezza che rivela ogni tipo di minaccia.
Sysmon blocca i file pericolosi
Sysmon è un servizio che monitora le attività del sistema operativo, registrandole nel log degli eventi di Windows. Fornisce informazioni dettagliate sulla creazione dei processi, le connessioni di rete e le modifiche alla data di creazione dei file. È quindi molto utile per identificare attività anomale. Con la versione 14 è stato aggiunto il monitoraggio dell’evento FileBlockExecutable.
Sysmon può ora bloccare la scrittura su disco di file eseguibili (EXE, DLL, SYS) in base a determinati criteri. È sufficiente creare un file di configurazione per indicare cosa deve essere monitorato e bloccato. L’utente può, ad esempio, bloccare la scrittura di file .exe
in specifiche directory. Per impedire alle applicazioni Office di scrivere su disco gli eseguibili dei malware scaricati tramite macro è possibile usare la seguente regola nel file msoffice-fileblock.xml
:
Il monitoraggio in background viene avviato con il comando sysmon -i msoffice-fileblock.xml
. Il log corrispondente viene registrato nel Visualizzazione eventi come “Event 27, Sysmon“. Come detto, Sysmon non garantisce una protezione al 100%, quindi è sempre meglio utilizzare un antivirus.