內存攻擊已經成為一個嚴重的問題，受害者的數量正在快速增加。在您的系統中找出黑客的存在是很困難的，因為黑客永遠不會在磁盤上寫入文件，這是一種通常的黑客攻擊方式。他們使用內存代替，在操作系統的事件日志中留下很少或沒有足跡。僅當黑客選擇磁盤上的惡意文件時，防病毒軟件的好處才有效，但在內存中的情況下，它們沒有表現出積極的反應。強烈建議使用 Sysmon 和 Azure 安全中心來解決這個問題。以下是在 Sysmon 的幫助下檢測系統中是否存在惡意實體的兩種有價值的方法。

在尋找解決方案之前，用戶應該了解黑客的策略。該圖描繪了黑客用來破壞您的安全墻的最常用方法。

進程注入

黑客通過電子郵件發送 Microsoft Office Word 文檔，要求受害者啟用宏，然后將惡意代碼直接注入 verclsid.exe 進程空間。Verclsid.exe 是一個受信任的 Window 進程，有必要盡早停止入侵活動。

過程干擾

一旦攻擊者進入受害者的機器，他就會采取一些措施向受害者隱藏自己的存在。這里我們以 Invoke-Phantom 為例，它使用進程間的 Windows API 調用幫助用戶找出與 Windows 事件日志服務相關的線程。完成此過程后，黑客可以輕松地隱藏他在系統中的存在，并且他的活動不會被記錄。

如何使用 Sysmon 和 Azure 安全服務檢測內存攻擊？

用戶可以通過收集和分析 Sysmon 事件輕松檢測上述攻擊。這是一個需要遵循的三個步驟：

安裝和配置 Sysmon

上述攻擊技術訪問一個進程的內存并復制到另一個進程。verclsid.exe 和 svchost.exe 中正在修改內存。Sysmon 可以在您下載并安裝后檢測到此類攻擊，因為它決定了日志記錄的級別和數量。使用以下代碼進行配置：

示例SysmonConfig.xml：

verclsid.exe

svchost.exe

0x1F0FFF

0x1F1FFF

0x1F2FFF

0x1F3FFF

…

0x1FFFFF

未知

您可以使用此代碼執行安裝。sysmon.exe -i 示例SysmonConfig.xml。或者，如果您使用 64 位版本 sysmon64.exe -i exampleSysmonConfig.xml，則使用此代碼作為替代。

啟用 Sysmon 數據收集

Azure 安全中心密切關注惡意活動并記錄特定的事件集。您可以從 Azure 門戶查看數據。從 Log Analytics 工作區中選擇高級設置，然后轉到 Log Analytics 中的數據源，該數據源用于獲取多種類型數據的詳細信息以進行分析。添加以下代碼以收集 Sysmon 事件：Microsoft-Windows-Sysmon/Operational：

定義自定義警報

您可以從警報詳細信息中獲取客戶警報和新警報，并從 ProcessAccess 中獲取數據定義。使用以下查詢獲取每個警報的完整信息。搜索“Microsoft-Windows-Sysmon/Operational” | 其中 EventID==10?。同樣，您可以在安全中心查看警報并采取必要的措施。