Sysinternals Sysmon mit DNS Query-Protokollierung kommt

[English]Am heutigen Dienstag will Mark Russinovich eine neue Version seines in den Sysinternals-Tools enthaltenen Sysmon freigegeben. Das kann dann DNS-Abfragen protokollieren.

Viel an Informationen liegt noch nicht vor – ich bin gerade auf einen Tweet von Mark Russinovich vom Wochenende gestoßen, wo er die neue Version ankündigt.

Sysmon with DNS query logging and original file name reporting will publish on Tuesday. pic.twitter.com/0nTKJahjSe

— Mark Russinovich (@markrussinovich) 8. Juni 2019

Das Tool loggt nicht nur die DNS-Anfragen sondern auch die Rückmeldungen des jeweiligen DNS-Servers. Sicherheitsforscher @SwiftOnSecurity hat sich hier bereits lobend über das Tool ausgelassen.

Ergänzung:  Das Tool ist jetzt erschienen.

Hintergrund: Sysinternals Tools

Die Sysinternals-Suite ist eine Sammlung an Tools für Windows, mit denen man verschiedenes erledigen kann. Die Tools der kostenlosen Sysinternals-Suite lassen sich auf dieser Webseite abrufen. Noch ist die aktualisierte Version von Sysmon aber noch nicht verfügbar (der Stand ist 18. Februar 2019).

PS: Es sind übrigens interessante Diskussionen, die sich um diesen Tweet entsponnen haben. Das Einzige, was mich nervt, sind die typischen animierten GIF-Memes, die bei so etwas immer auftauchen.

Weitere Ergänzungen

Dieser Blog-Beitrag beschäftigt sich mit dem Thema, wie DNS-Anfragen mit dem Tool behandelt werden können – der Hinweis ist mir per Tweet untergekommen.

A quick blog post looking at how Sysmon DNS monitoring works, and how this can potentially be evaded during an engagement. https://t.co/zxPzQj7PxT

— Adam Chester (@_xpn_) 15. Juni 2019

Sysmon scheint sich wohl als Tool für die Überwachung sicherheitsrelevanter Aktivitäten zu eignen, wie der Beitrag Sysinternals Sysmon in Azure Sentinel verwenden zeigt. Zudem wurden weitere Sysinternals-Tools aktualisiert.

Ähnliche Artikel:
Neue Sysinternals-Tools
Sysinternals Sysmon in Azure Sentinel verwenden