Detecta actividades sospechosas o no autorizadas utilizando Sysmon

Sysmon es una de las herramientas casi imprescindibles para todos aquellos usuarios que quieran tener un control absoluto sobre el sistema. Una vez instalada, Sysmon se encarga automáticamente de registrar todos los eventos y toda la actividad del sistema. Este software se configura como un servicio y se ejecuta durante los reinicios con el fin de conocer en detalle qué sucede mientras Windows arranca.

Nos brinda información bastante detallada sobre todos los procesos que se crean, las conexiones de red que se establecen y los cambios que se realizan al crearse archivos.

De esta forma, es posible detectar, con relativa facilidad, todo tipo de actividades sospechosas o no autorizadas que puedan suponer un peligro para el equipo, incluso el malware más complejo.

También los procesos que han sido manipulados para intentar engañar al antivirus u otro software de seguridad.

Cuando el malware se aprovecha de la manipulación de procesos generalmente se oculta dentro de alguno aparentemente confiable.

Y dado que muchos de los programas de seguridad tienen estos procesos en la lista blanca, pasan desapercibidos. Incluso si abrimos el administrador de tareas, no podremos identificarlos.

Esta es una técnica ampliamente utilizada por malware insidioso como Mailto/defray777 ransomware, TrickBot o BazarBackdoor.

Afortunadamente, gracias a Microsoft Sysmon 13, ahora podremos detectar este tipo de amenazas.

Microsoft ha compartido información sobre la instalación y el uso de la nueva herramienta en la sección de documentación de esta utilidad de seguridad.

También hay un enlace oficial desde donde se puede descargar la última versión del programa.

• Para instalarlo hay que descargar y descomprimir el archivo ZIP en una carpeta usando el extractor de archivos predeterminado de Windows o Winrar, 7zip, etc.
• Una vez descomprimido el archivo, hay que ejecutar Sysmon.exe aceptar el EULA y presiona en Siguiente.
• En función del sistema operativo deberemos elegir entre la versión de 32 o 64 bits del programa.
• Si todo ha funcionado correctamente, se mostrará el EULA de Sysinternals.
• Hay que acéptalo, y luego reiniciar para ejecutar la primera prueba.

Una vez que Windows se haya iniciado de nuevo, podremos ver el Visor de eventos y buscar registros de aplicaciones y servicios, desplazándonos mediante las flechas de la derecha.

También se puede utilizar la línea de comandos para entre otras cosas instalar, desinstalar, verificar y modificar la configuración del programa.

Para abrir la línea de comandos de Windows (o símbolo del sistema) tan solo tenemos que ir a Inicio -> Ejecutar y escribir CMD.

install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Existen herramientas como Process Monitor que son más fáciles de configurar y usar.

Pero Sysmon es mucho más efectivo a la hora de detectar malware que se aprovecha de la manipulación de procesos.

En cualquier caso, más arriba tienes un enlace con información sobre la instalación y el uso del programa, no pierdes nada por probar (no vas a causar estragos en tu dispositivo ni romper nada), y puedes aprender más sobre el funcionamiento de tu sistema operativo.

Si quieres desinstalarlo, y las instrucciones que vienen en su documentación oficial no funcionan (Uninstall:  Sysmon.exe –u) y obtienes un resultado extraño como: the service sysmon64 is already registered, puedes hacer esto:

Detén el servicio Sysmon en Services.msc.

Para abrir el Administrador de servicios de Windows en un ordenador con Windows 10, haz lo siguiente:

1. Haz clic con el botón derecho en el botón Inicio para abrir el menú de Windows.
2. Selecciona Ejecutar.
3. Escribe services.msc en el cuadro Ejecutar.
4. Se abrirá el Administrador de servicios de Windows.
5. Aquí podrás iniciar, detener, deshabilitar y retrasar los servicios de Windows.

Abre la consola de símbolo del sistema o de PowerShell con privilegios de administrador.

Ejecuta los siguientes comandos: sysmon64.exe -uo o sysmon64.exe -u force (si el primer comando no funciona)

Deberás cambiar 64 por 32 en función de la versión instalada.