Sysmon, la herramienta antimalware para usuarios avanzados

Es posible que algunos de vosotros ya conozcáis las funciones que ofrece la suite de herramientas Windows Sysinternals de Microsoft. Cada cierto tiempo aparece alguna nueva versión de esta utilidad y merece la pena recordarlo. Sysinternals es un recurso muy útil para usuarios avanzados o administradores de equipos y que proporciona información detallada del sistema y su uso.

Su desarrollador, Mark Russinovich, acaba de publicar una nueva herramienta similar y cuyo nombre es Sysmon. Podéis descargarla en su página oficial.

Sysmon para Windows

Sysmon es una herramienta basada en Ventana de Comandos, que permite a los usuarios experimentados (hay que saber lo que se hace con ella) monitorizar y rastrear movimientos en el equipo. Esta herramienta nos muestra como se comporta el equipo “por dentro”, por lo que es útil para detectar malware o conexiones sospechosas.

El peso del archivo es de solo 465 KB y lo podemo ubicar donde queramos. Lo más sencillo es ponerlo en la carpeta “System32” de Windows, ya que ahí es donde se encuentra el ejecutable de Símbolo de Sistema de Windows, de modo que no tendremos que cambiar de ruta en el mismo.

  • Primero abriremos el CMD o Símbolo de sistema con privilegios de administrador. Ejemplo para Windows 8.1:

sysmon1

  • Para iniciar la aplicación e instalar los servicios necesarios, tendremos que ejecutar el comando sysmon -I:

sysmon2

Ejemplo de funcionamiento de Sysmon, donde debemos escoger una serie de parámetros para crear el LOG.

sysmon3

  • Sysmon nos entregará la información, de forma predefinida, mediante el Visor de Sucesos de Windows:

sysmon4

Según Microsoft Technet, Sysmon se describe como: “Un servicio y driver del sistema Windows que, una vez instalado en un equipo, permanece residente entre reinicios del sistema, con el objetivo de monitorizar y crear LOGs de la actividad del sistema en el Visor de Eventos de Windows. Proporciona información detallada sobre creación de procesos, conexiones de red y cambios en sistema de archivos. Utilizando los eventos que recoje a través del Visor de Eventos de Windows o agente SIEM para su posterior análisis, podemos identificar actividad anómala o maliciosa y así entender como los intrusos y el malware operan en nuestro entorno.”

Eso sí, debe quedar claro que Sysmon no tiene de momento la capacidad de ocultarse ante intrusos ni tampoco de protegerse ante posibles modificaciones.

Recomendamos su uso, principalmente, para monitorizar conexiones de red en el equipo, además de los procesos que las realizan, como muestra el siguiente ejemplo:

<EventData>
  <Data Name="UtcTime">7/25/2014 6:53 PM</Data>
  <Data Name="ProcessGuid">
    {00DC842A-A7B0-53D2-0000-0010CF0E0C00}
  </Data>
  <Data Name="ProcessId">3564</Data>
  <Data Name="Image">iexplore.exe</Data>
  <Data Name="User">DOMAIN\user</Data>
  <Data Name="Protocol">tcp</Data>
  <Data Name="SourceIsIpv6">false</Data>
  <Data Name="SourceIp">192.168.0.1</Data>
  <Data Name="SourceHostname">MACHINE.domain.com</Data>
  <Data Name="SourcePort">58944</Data>
  <Data Name="SourcePortName" />
  <Data Name="DestinationIsIpv6">false</Data>
  <Data Name="DestinationIp">200.200.200.200</Data>
  <Data Name="DestinationHostname">www.bing.com</Data>
  <Data Name="DestinationPort">80</Data>
  <Data Name="DestinationPortName">http</Data>
  </EventData>
Anuncios

Un comentario en “Sysmon, la herramienta antimalware para usuarios avanzados

  1. Pingback: Bitacoras.com

Deja un comentario!

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s