前言

Sysinternals团队发布了Sysmon的新版本。这会将版本号提升到14.0，并将架构提升到4.82。[1] [2] [3] [4]

除了针对驱动程序中某些边缘情况或驱动程序与服务之间发生的几个内存泄漏的一些修复之外，还有一种新的事件类型！新事件的 ID 为 27，名为FileBlockExecutable。

FileBlockExecutable

Sysmon 现在阻止可执行文件，根据过滤条件将文件头写入文件系统。这是阻止某些程序将恶意文件写入磁盘的非常强大的功能。作为一个简单的示例，我创建了这个配置，它不允许将 PE 文件写入下载目录。

<Sysmon schemaversion="4.82">
   <EventFiltering>
      <RuleGroup name="" groupRelation="or">
         <FileBlockExecutable onmatch="include">
            <TargetFilename condition="contains all">C:\Users;Downloads</TargetFilename>
         </FileBlockExecutable>
      </RuleGroup>
   </EventFiltering>
</Sysmon>

当此配置已加载并且我尝试下载文件时，它将无法正常工作。

MS Edge 显示下载失败

事件日志

生成的事件日志项如下所示：

事件日志中被阻止的文件事件 ID 27

DLL/XLL/WLL 文件也是如此，因为它们将共享相同的 MZ 标头。

显然，大多数人不会对下载文件夹执行此操作。例如，更有用的是从 Office 进程中编写可执行文件，其中宏可能会下载辅助有效负载并执行它。

<Sysmon schemaversion="4.82">
   <EventFiltering>
      <RuleGroup name="" groupRelation="or">
         <FileBlockExecutable onmatch="include">
  <Image name="technique_id=T1105,technique_name=Ingress Tool Transfer" condition="image">excel.exe</Image>
  <Image name="technique_id=T1105,technique_name=Ingress Tool Transfer" condition="image">winword.exe</Image>
  <Image name="technique_id=T1105,technique_name=Ingress Tool Transfer" condition="image">powerpnt.exe</Image>
  <Image name="technique_id=T1105,technique_name=Ingress Tool Transfer" condition="image">outlook.exe</Image>
  <Image name="technique_id=T1105,technique_name=Ingress Tool Transfer" condition="image">msaccess.exe</Image>
  <Image name="technique_id=T1105,technique_name=Ingress Tool Transfer" condition="image">mspub.exe</Image>
         </FileBlockExecutable>
      </RuleGroup>
   </EventFiltering>
</Sysmon>

其他注意事项可能是防止某些脚本工具、某些临时文件夹写入文件或被写入。一定要很好地测试这个！在一个简单的例子中，我阻止了 cmd.exe、powershell.exe 和 cscript.exe 不允许它写入文件。

Powershell 尝试将文件复制到同一文件夹。

虽然命令行上没有错误，但文件并未写入磁盘。Sysmon 阻止了这一点，如下面的事件所示。

PowerShell 无法复制文件

最后

这次活动的信息很好，我们可以看到

• 我最喜欢的领域是 ProcessGuid，
• 进程 ID，
• 执行该操作的用户，
• 使用了哪个图像/二进制文件，
• 目标文件名
• 以及所用图像的哈希值

遗憾的是，我们还没有初始图像的 OriginalFileName，这将使它在创建配置时更加健壮，因为它们比文件名更难更改。

此功能的应用因组织而异，并且对不同的使用目标具有不同的价值。它当然可以帮助强化工作站或作为额外的步骤，使其对恶意行为者更具挑战性。

总而言之，这是一个有趣的举措，不仅可以记录日志，还可以在这里行动。我非常想看看 SysInternals 团队考虑开发哪些其他功能。显然，这需要更多的测试，因为您可以显着影响操作。和往常一样，不要在生产中测试它，让它在实验室中运行一段时间，然后在一组参考机器上，然后在经过一些验证后将其推出到 prod 中。

此外，对于这样的新功能版本，可能存在未知问题。暂时不建议将其投入生产。