Habr1h ago

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один...

Хабр
The New OilFeb 26

#Windows11 KB5077241 update improves #BitLocker, adds #Sysmon tool

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5077241-update-improves-bitlocker-adds-sysmon-tool/

#cybersecurity #Windows #Microsoft

Windows 11 KB5077241 update improves BitLocker, adds Sysmon tool

Microsoft has released the KB5077241 optional cumulative update for Windows 11, which comes with 29 changes, including improvements to BitLocker, a new network speed test tool, and native System Monitor (Sysmon) functionality.

BleepingComputer
knoppixFeb 20

Windows 11 maxi update hits Insiders: Sysmon security, taskbar speedtest, Emoji 16.0, webcam pan/tilt, WebP wallpapers. 🛡️

Native Sysmon threat logging to Event Log, Quick Machine Recovery, flexible taskbar—all boosting productivity and diagnostics. ⚙️

🔗 https://www.pcworld.com/article/3064685/windows-11-is-about-to-get-a-wealth-of-new-features-and-changes.html

#TechNews #Privacy #Cybersecurity #Windows #Windows11 #Sysmon #Microsoft #Security #Taskbar #Emojis #FOSS #Linux #Infosec #Productivity #Insider #Speedtest #Emoji #Update

Windows 11 is about to get a wealth of new features and changes

Look forward to a taskbar speed test, new emojis, webcam controls, Sysmon security, and more.

PCWorld
Marcel SIneM(S)USFeb 6
Native #Sysmon-Integration in #Windows  rückt näher | Security https://www.heise.de/news/Native-Sysmon-Integration-in-Windows-rueckt-naeher-11164696.html #Microsoft #MicrosoftWindows 
Native Sysmon-Integration in Windows rückt näher

Microsoft hat Windows-Insider-Vorschauen veröffentlicht, die das mächtige Sysmon-Protokollierungstool als Windows-Feature mitbringen.

heise online
Shawn BrinkFeb 4
How to Install or Uninstall Built-in #Sysmon in #Windows11
https://www.elevenforum.com/t/install-or-uninstall-built-in-sysmon-in-windows-11.44326/
Ichinin   ✅🎯🙄Jan 4
Oh holy hell. This just shows that Microsoft need to clean up its act and get rid of such functionality to FIRMLY stand on the side of defenders. What the fuck were they thinking when they added support for custom registry hives? #registry #evasion #sysmon #edr
https://deceptiq.com/blog/ntuser-man-registry-persistence
Registry Writes Without Registry Callbacks

Explore NTUSER.MAN, an overlooked Windows profile mechanism that allows registry persistence without triggering CmRegisterCallback EDR monitoring.

DeceptIQ
Marcel SIneM(S)USNov 27
#Windows  integriert #Sysmon nativ | Security https://www.heise.de/news/Sysmon-wird-Windows-Bestandteil-11084871.html #Windows11 #WindowsServer2025 #Sysinternals #SysinternalsSuite
Windows integriert Sysmon nativ

Mark Russinovich hat angekündigt, dass das Diagnosetool Sysmon im kommenden Jahr Windows-Bestandteil wird.

heise online
MalwareLabNov 20

RE: https://infosec.exchange/@suricata/115583672707664579

Suricata events enriched with #sysmon process info = #Pikksilm. Based on experiences from the #LockedShields cyber battlefield. Definitely recommended to see that tool and presentation.

Also talk about #ICS , #modbus and datasets by @reverseics brings good ideas and examples of #suricata rules.

TechNaduNov 20

Microsoft is bringing Sysmon natively into Windows 11 & Windows Server 2025 - installable via Optional Features and updated through Windows Update.

Custom configs, advanced filtering, and the familiar event set (proc creation, file creation, tampering, WMI, network activity) all remain.

Docs + new enterprise management features are coming next year.

What’s your take on native Sysmon for enterprise visibility?

#Sysmon #infosec #windows11 #microsoftsecurity #blueteam #cybersecurity #threathunting #endpointsecurity

WinFuture.deNov 19
#Microsoft wird das #Admin-#Tool #Sysmon ab 2026 fest in #Windows11 integrieren. Der System-#Monitor soll dann offiziellen Support erhalten und einfach über die Windows-Funktionsverwaltung aktivierbar sein. https://winfuture.de/news,155054.html?utm_source=Mastodon&utm_medium=ManualStatus&utm_campaign=SocialMedia
Windows 11: Microsoft will Admin-Tool Sysmon bald immer mitliefern

Microsoft will ab dem kommenden Jahr beginnen, das bisher als Teil der Sysinternals Toolbox vertriebene Programm Sysmon als nativen Teil der Ausstattung von Windows 11 und Windows Server 2025 mitzuliefern. Dies kündigte Syinternals-Macher Mark Russinovich jetzt offiziell an.

WinFuture.de