Noch ein kurzer Tipp für Admins, die Sysmon aus den Sysinternals-Tools zur Systemüberwachung verwenden. In der Version 8.0.0 gibt es ein Memory-Leak, welches in der aktualisierten Version 8.0.4 beseitigt wurde.
Anzeige
Ein kurzer Blick auf Sysmon
Sysmon ist Bestandteil der kostenlosen Sysinternals-Tools von Microsoft. Das Tool ist zur Systemanalyse ganz hilfreich. Laut Beschreibung stellt es folgende Funktionalität bereit:
System Monitor (Sysmon) ist ein Windows-Systemdienst und Gerätetreiber, der, sobald er auf einem System installiert ist, über Systemneustarts hinweg resident bleibt, um Systemaktivitäten zu überwachen und im Windows-Ereignisprotokoll zu protokollieren.
Sysmon liefert detaillierte Informationen über Netzwerkverbindungen, Prozesserstellungen und Änderungen der Dateierstellungszeit. Indem man die von Sysmon erzeugten Ereignisse mit Hilfe von Windows Event Collection oder SIEM-Agenten sammelt und anschließend analysiert, lassen sich bösartige oder anomale Aktivitäten identifizieren, um zu verstehen, wie Eindringlinge und Malware im Netzwerk arbeiten.
Allerdings kann Sysmon weder eine Analyse der von ihm erzeugten Ereignisse durchführen, noch sich vor Angreifern schützen oder verstecken.
Ein Memory-Leak in Sysmon 8.x
Bleeping Computer berichtet hier von einem Problem in Sysmon 8.x. In der neuesten Version des Dienstprogramms Sysmon existiert ein Speicherleck, das dazu führen könnte, dass einem Computer der Speicher ausgeht. Dann stürzt der Computer ab, sobald er seine Konfigurationsdatei routinemäßig durch eine geplante Aufgabe oder auf andere Weise aktualisiert. Der Bug wird bereits seit Sommer 2018 in diesem Forenthread diskutiert. Er wird nur bemerkt, wenn Sysmon sehr lange (30 Tage) in Server-Umgebungen läuft.
Heads up admins if you still run sysmon 8.0.0 and you run a scheduled task to update the sysmon config each reload will use approximately 15mb of ram, after 30 days it will max out memory on your servers if they dont reboot. Memory is locked in non-paged pool. 8.0.4 resolves
— ɯɹoʇsuoı (@ionstorm) 23. Januar 2019
Anzeige
Benutzer @iostorrm weist in obigem Tweet auf das Memory-Leak in Sysmon 8.0.0 und möglicherweise 8.0.2 hin. Er empfiehlt das Upgrade auf Sysmon 8.0.4, und Marc Russinovich schreibt am 19. Dezember 2018, dass das Memory-Leak in dieser Version behoben sei. Am 27.12.2018 wurde die neue Version freigegeben und kann über die nachfolgend verlinkte Webseite heruntergeladen werden.
Anzeige