c't 21/2018
S. 148
Praxis
Sysmon
Aufmacherbild
Bild: Thorsten Hübner

Mitschreiber

Hackern auf der Spur mit Sysmon

Sicherheitsforscher brauchen zum Analysieren von Angriffsvektoren möglichst detaillierte Daten, mit denen sie nachvollziehen können, wie sich ein Angreifer Zugang zum System zu verschaffen sucht. Aber auch für den Privatgebrauch kann es sinnvoll sein, solche Daten regelmäßig zu beobachten, um Angriffe frühzeitig zu entdecken. Das kostenlose Programm Sysmon liefert die nötigen Informationen.

Wer ein leistungsfähiges Antivirenprogramm einsetzt und darauf achtet, dass Betriebssystem und Anwendungen stets auf dem aktuellen Update-Stand sind, hat schon eine Menge dafür getan, seinen Rechner vor Malware-Angriffen zu schützen. Wo Sicherheit oberste Maxime ist, reicht das aber nicht: Hier muss man aktiv nach Einbruchsversuchen forschen. Sollte ein Angreifer trotz allem mal erfolgreich sein, muss das benutzte Einfallstor möglichst detailliert erforscht und dann geschlossen werden.

Für solche Detektivarbeiten ist es wichtig, möglichst genaue Aufzeichnungen darüber zu haben, was das System im Moment des Angriffs getrieben hat. Windows legt zwar bereits von Haus aus diverse Protokolle an, aber für die Bedrohungsanalyse sind sie weitgehend nutzlos – das Programm Sysmon ändert das. Zu haben ist es kostenlos von Microsofts Webserver, wahlweise als Einzel-Download oder im Rahmen der Sysinternals Suite. Alle Download-Adressen für in diesem Artikel erwähnte Tools haben wir unter ct.de/ytyf für Sie zusammengetragen.

Kommentare lesen (2 Beiträge)