ну разговор же о преимуществах sysmon в сравнении с нативным логом. можно легко запутаться, не уточняя что подразумевается под словом «хеш». давайте подытожим:

собирать md5/sha/imphash  исполняемых бинарей нативными средствами винды нельзя, но можно с помощью sysmon.

в то же время sysmon не умеет собирать authentihash, который умеет собирать апплокер, но кейсы этого типа хеша очень и очень ограничены. TI фидов с этим хешем я не припомню. плюс его вычисление вообще непонятно и не очевидно, какими-то встроенными функциями ни на винде ни на никсах его не сделать.

Оба собирать точно не нужно

Боян

А накой тогда этот authentihash нужен? Или мелкомягкие опять придумали ЕНХ которая пока не нашла применение?

не хочу врать, кейс разбирал больше года назад, вообще все гуглится, там статей раз два и обчелся.

примерный смысл в том что можно ловить модифицированные бинари, у которых уже не тот authentihash что был раньше. типо два бинаря с одинаковым именем но разным хешем - алярм.

Наверно это работает только по принципу белого списка бинарей, которые возможно так контролировать. Иначе там фолзов будет тонна.

Да я согласен. Зачем выдумывать новый "тип" хеша-вот в чем вопрос. Разве только масдай опять придумал "свое собственное казино..."

Хеш в любом случае будет разный. Ловить можно чем угодно.

Ага

Authenticode

Не хэш

Это после апдейта каждого софта будет куча алертов?

Смотря как выстроишь процесс. Есть же списк легитимных md5, к примеру nist, плюс процедура патчменеджмента

Но какая-то часть алертов пролетит

Ну и вот эта штука, по идее, должна снижать количество фолсов ибо там pki

Не понял, что такое имя хэша.
Authentihash - как понимаю хэш от Authenticode, то бишь code signing. И есс-но тогда, что authentihash для легальных бинарей, но разных версий будет разный. Хотя имя у них будет одинаковым. И будет фолса. Вообще, на имя завязываться, это какой-то Bad Practice, не?
Если надо вариации малварей различать на основе известного образца, то проще нечеткое хэширование пользовать, тот же ssdeep

вы знаете, @Hamakev, я тоже не знаю что такое имя хеша и понятия не имею как это туда попало. отредактировал

вы так говорите как будто я что-то предлагал. я описал концепт использования authentihash настолько насколько вспомнил. если надо вариации/семейства то это ssdeep/imphash, но речь же не о них. складывается впечатление что @truerps это использует, может как-то прокомментирует

Authenticode- уже хэш

И в офф доках он так и называется.