በዊንዶውስ ውስጥ አጠራጣሪ ሂደቶችን ስለመጀመር የክስተቶችን ስብስብ እናነቃለን እና Quest InTrustን በመጠቀም አደጋዎችን እንለያለን

በጣም ከተለመዱት የጥቃቶች ዓይነቶች አንዱ ሙሉ በሙሉ በተከበሩ ሂደቶች ውስጥ በዛፍ ውስጥ ተንኮል አዘል ሂደትን ማፍለቅ ነው. ወደ ተፈፃሚው ፋይል የሚወስደው መንገድ አጠራጣሪ ሊሆን ይችላል፡ ማልዌር ብዙ ጊዜ AppData ወይም Temp አቃፊዎችን ይጠቀማል፣ እና ይሄ ለህጋዊ ፕሮግራሞች የተለመደ አይደለም። በትክክል ለመናገር አንዳንድ አውቶማቲክ ማሻሻያ መገልገያዎች በ AppData ውስጥ ይከናወናሉ ማለት ተገቢ ነው ፣ ስለሆነም የማስጀመሪያውን ቦታ መፈተሽ ፕሮግራሙ ተንኮል አዘል መሆኑን ለማረጋገጥ በቂ አይደለም ።

የሕጋዊነት ተጨማሪ ምክንያት የምስጠራ ፊርማ ነው፡ ብዙ ኦሪጅናል ፕሮግራሞች በአቅራቢው ተፈርመዋል። አጠራጣሪ ጅምር ንጥሎችን ለመለየት እንደ ዘዴ ምንም ፊርማ አለመኖሩን መጠቀም ይችላሉ. ግን እንደገና እራሱን ለመፈረም የተሰረቀ የምስክር ወረቀት የሚጠቀም ማልዌር አለ።

እንዲሁም ቀደም ሲል ከተገኙት አንዳንድ ማልዌር ጋር ሊዛመድ የሚችል የMD5 ወይም SHA256 ክሪፕቶግራፊክ ሃሽ ዋጋን ማረጋገጥ ይችላሉ። በፕሮግራሙ ውስጥ ፊርማዎችን (የያራ ህጎችን ወይም የጸረ-ቫይረስ ምርቶችን በመጠቀም) በመመልከት የማይንቀሳቀስ ትንተና ማካሄድ ይችላሉ። ተለዋዋጭ ትንተና (በአንዳንድ ደህንነቱ በተጠበቀ አካባቢ ፕሮግራምን ማካሄድ እና ድርጊቶቹን መከታተል) እና ምህንድስናን መቀልበስም አለ።

የተንኮል ሂደት ብዙ ምልክቶች ሊኖሩ ይችላሉ. በዚህ ጽሑፍ ውስጥ በዊንዶውስ ውስጥ አግባብነት ያላቸውን ክስተቶች ኦዲት እንዴት ማንቃት እንደሚችሉ እንነግርዎታለን ፣ አብሮገነብ ደንቡ በእሱ ላይ የተመሠረተባቸውን ምልክቶች እንመረምራለን ። መታመን አጠራጣሪ ሂደትን ለመለየት. መታመን ነው። CLM መድረክ ለተለያዩ የጥቃት ዓይነቶች በመቶዎች የሚቆጠሩ አስቀድሞ የተገለጹ ምላሾች ያሉት ያልተደራጀ መረጃ ለመሰብሰብ፣ ለመተንተን እና ለማከማቸት።

ፕሮግራሙ ሲጀመር በኮምፒዩተር ማህደረ ትውስታ ውስጥ ይጫናል. የሚፈፀመው ፋይል የኮምፒውተር መመሪያዎችን እና ደጋፊ ቤተ-መጻሕፍትን (ለምሳሌ *.dll) ይዟል። አንድ ሂደት ቀድሞውኑ ሲሰራ, ተጨማሪ ክሮች ሊፈጥር ይችላል. ክሮች አንድ ሂደት የተለያዩ መመሪያዎችን በአንድ ጊዜ እንዲፈጽም ያስችለዋል. ተንኮል አዘል ኮድ ወደ ማህደረ ትውስታ ውስጥ ዘልቆ ለመግባት እና ለማሄድ ብዙ መንገዶች አሉ, አንዳንዶቹን እንይ.

ተንኮል አዘል ሂደትን ለማስጀመር ቀላሉ መንገድ ተጠቃሚው በቀጥታ እንዲጀምር ማስገደድ ነው (ለምሳሌ ከኢሜል አባሪ) በመቀጠል ኮምፒውተሩ በበራ ቁጥር RunOnce የሚለውን ቁልፍ ተጠቀም። ይህ በተጨማሪ የPowerShell ስክሪፕቶችን በመመዝገቢያ ቁልፎች ውስጥ የሚያከማች “ፋይል-አልባ” ማልዌርን ያካትታል ይህም ቀስቅሴ ላይ ተመስርተው የሚፈጸሙ ናቸው። በዚህ አጋጣሚ የPowerShell ስክሪፕት ተንኮል አዘል ኮድ ነው።

ማልዌርን በግልፅ የማስኬድ ችግር በቀላሉ የሚታወቅ የታወቀ አካሄድ ነው። አንዳንድ ማልዌር የበለጠ ብልህ ነገሮችን ያደርጋል፣ ለምሳሌ ሌላ ሂደት በመጠቀም የማህደረ ትውስታ ስራን ለመጀመር። ስለዚህ አንድ ሂደት የተለየ የኮምፒዩተር መመሪያን በማስኬድ እና የሚተገበር ፋይልን (.exe) በመጥቀስ ሌላ ሂደት ሊፈጥር ይችላል።

ፋይሉ ሙሉ ዱካ (ለምሳሌ C: Windowssystem32cmd.exe) ወይም ከፊል መንገድ (ለምሳሌ cmd.exe) በመጠቀም ሊገለጽ ይችላል። የመጀመሪያው ሂደት ደህንነቱ ያልተጠበቀ ከሆነ, ህገ-ወጥ ፕሮግራሞችን እንዲሰራ ይፈቅዳል. ጥቃቱ ይህን ይመስላል፡ ሂደቱ ሙሉውን መንገድ ሳይገልጽ cmd.exe ይጀምራል፣ አጥቂው cmd.exe ን በአንድ ቦታ ላይ ያስቀምጣል፣ ይህም ሂደቱ ከህጋዊው በፊት እንዲጀምር ነው። ማልዌሩ አንዴ ከጀመረ፣ በተራው ደግሞ ዋናው ፕሮግራም በትክክል መስራቱን እንዲቀጥል ህጋዊ ፕሮግራም (እንደ C:Windowssystem32cmd.exe) ማስጀመር ይችላል።

የቀደመው ጥቃት ልዩነት DLL ወደ ህጋዊ ሂደት መከተብ ነው። አንድ ሂደት ሲጀመር ተግባራቱን የሚያራዝሙ ቤተ-መጻሕፍት አግኝቶ ይጭናል። DLL መርፌን በመጠቀም አጥቂ ተመሳሳይ ስም እና ኤፒአይ እንደ ህጋዊ የሆነ ተንኮል አዘል ቤተ-መጽሐፍት ይፈጥራል። ፕሮግራሙ ተንኮል አዘል ቤተ-መጽሐፍትን ይጭናል, እና በተራው, ህጋዊውን ይጭናል, እና እንደ አስፈላጊነቱ, ስራዎችን እንዲያከናውን ይደውላል. ተንኮል አዘል ቤተ-መጽሐፍት ለጥሩ ቤተ-መጽሐፍት ተኪ ሆኖ መሥራት ይጀምራል።

ተንኮል አዘል ኮድን ወደ ማህደረ ትውስታ የሚያስገባበት ሌላው መንገድ ቀድሞውኑ እየሰራ ባለው ደህንነቱ ያልተጠበቀ ሂደት ውስጥ ማስገባት ነው። ሂደቶች ከተለያዩ ምንጮች ግብዓት ይቀበላሉ - ከአውታረ መረብ ወይም ከፋይሎች ማንበብ። ግቤት ህጋዊ መሆኑን ለማረጋገጥ በተለምዶ ቼክ ያካሂዳሉ። ነገር ግን አንዳንድ ሂደቶች መመሪያዎችን ሲፈጽሙ ተገቢውን ጥበቃ አይኖራቸውም. በዚህ ጥቃት፣ በዲስክ ላይ ወይም ተንኮል አዘል ኮድ የያዘ ሊተገበር የሚችል ፋይል ላይብረሪ የለም። ሁሉም ነገር በማህደረ ትውስታ ውስጥ ከሂደቱ ብዝበዛ ጋር ተቀምጧል.

አሁን እንደዚህ ያሉ ክስተቶችን በዊንዶውስ ውስጥ ለመሰብሰብ የሚያስችል ዘዴን እና በ InTrust ውስጥ ከእንደዚህ አይነት አደጋዎች ጥበቃን የሚተገበረውን ደንብ እንመልከት ። በመጀመሪያ፣ በInTrust አስተዳደር ኮንሶል በኩል እናግብረው።

ደንቡ የዊንዶውስ ኦኤስን ሂደት የመከታተያ ችሎታዎችን ይጠቀማል. እንደ አለመታደል ሆኖ የእንደዚህ አይነት ክስተቶችን ስብስብ ማንቃት ከግልጽ የራቀ ነው። መቀየር ያለብዎት 3 የተለያዩ የቡድን ፖሊሲ ቅንብሮች አሉ፡

የኮምፒውተር ውቅር > ፖሊሲዎች > የዊንዶውስ መቼቶች > የደህንነት ቅንጅቶች > የአካባቢ ፖሊሲዎች > የኦዲት ፖሊሲ > የኦዲት ሂደትን መከታተል

የኮምፒውተር ውቅር > ፖሊሲዎች > የዊንዶውስ መቼቶች > የደህንነት ቅንጅቶች > የላቀ የኦዲት ፖሊሲ ውቅር > የኦዲት ፖሊሲዎች > ዝርዝር ክትትል > የኦዲት ሂደት መፍጠር

የኮምፒዩተር ውቅር > ፖሊሲዎች > የአስተዳደር አብነቶች > ስርዓት > የኦዲት ሂደት መፍጠር > በሂደት ፈጠራ ክስተቶች ውስጥ የትእዛዝ መስመርን ያካትቱ

አንዴ ከነቃ የInTrust ደንቦች አጠራጣሪ ባህሪን የሚያሳዩ ከዚህ ቀደም ያልታወቁ ስጋቶችን እንድታገኝ ያስችሉሃል። ለምሳሌ, መለየት ይችላሉ እዚህ ተብራርቷል Dridex ማልዌር። ለ HP Bromium ፕሮጀክት ምስጋና ይግባውና ይህ ስጋት እንዴት እንደሚሰራ እናውቃለን።

በድርጊቶቹ ሰንሰለት ውስጥ፣ Dridex መርሐግብር የተያዘለትን ተግባር ለመፍጠር schtasks.exe ይጠቀማል። ይህንን ልዩ መገልገያ ከትዕዛዝ መስመሩ መጠቀም በጣም አጠራጣሪ ባህሪ ነው ተብሎ ይታሰባል፡ svchost.exe ን ወደ ተጠቃሚ አቃፊዎች ከሚጠቁሙ መለኪያዎች ጋር ወይም ከ"ኔትወርክ እይታ" ወይም "whoami" ትዕዛዞች ጋር ተመሳሳይነት ያለው ግቤቶችን ማስጀመር ተመሳሳይ ይመስላል። እዚህ ጋር የሚዛመደው ቁርጥራጭ ነው። የ SIGMA ደንቦች:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

በ InTrust ውስጥ ፣ ሁሉም አጠራጣሪ ባህሪዎች በአንድ ደንብ ውስጥ ይካተታሉ ፣ ምክንያቱም አብዛኛዎቹ እነዚህ ድርጊቶች ለአንድ የተወሰነ ስጋት የተወሰኑ አይደሉም ፣ ግን ይልቁንም ውስብስብ በሆነው ውስጥ አጠራጣሪ ናቸው እና በ 99% ከሚሆኑት ጉዳዮች ሙሉ ለሙሉ ክቡር ዓላማዎች አይደሉም። ይህ የእርምጃዎች ዝርዝር የሚከተሉትን ያጠቃልላል ነገር ግን አይወሰንም፦

• እንደ ተጠቃሚ ጊዜያዊ አቃፊዎች ካሉ ባልተለመዱ አካባቢዎች የሚሰሩ ሂደቶች።
• በአጠራጣሪ ውርስ የታወቀ የስርዓት ሂደት - አንዳንድ ስጋቶች ሳይታወቅ ለመቆየት የስርዓት ሂደቶችን ስም ለመጠቀም ሊሞክሩ ይችላሉ።
• የአካባቢ ስርዓት ምስክርነቶችን ወይም አጠራጣሪ ውርስ ሲጠቀሙ እንደ cmd ወይም PsExec ያሉ የአስተዳደር መሳሪያዎች አጠራጣሪ ግድያዎች።
• አጠራጣሪ የጥላ ቅጂ ኦፕሬሽኖች ሲስተምን ከማመስጠር በፊት የራንሰምዌር ቫይረሶች የተለመደ ባህሪ ናቸው፤ መጠባበቂያዎችን ይገድላሉ፡-

  - በ vssadmin.exe;
  - በ WMI በኩል.

• የመመዝገቢያ ቀፎዎችን በሙሉ ይመዝግቡ።
• እንደ at.exe ያሉ ትዕዛዞችን በመጠቀም ሂደት በርቀት ሲጀመር የተንኮል-አዘል ኮድ አግድም እንቅስቃሴ።
• net.exe በመጠቀም አጠራጣሪ የአካባቢ ቡድን ስራዎች እና የጎራ ስራዎች።
• netsh.exe በመጠቀም አጠራጣሪ የፋየርዎል እንቅስቃሴ።
• የ ACL አጠራጣሪ ማጭበርበር።
• ለውሂብ ማስወጣት BITSን መጠቀም።
• ከWMI ጋር አጠራጣሪ ዘዴዎች።
• አጠራጣሪ የስክሪፕት ትዕዛዞች።
• ደህንነታቸው የተጠበቁ የስርዓት ፋይሎችን ለመጣል ሙከራዎች።

ጥምር ደንቡ እንደ RUYK፣ LockerGoga እና ሌሎች ራንሰምዌር፣ ማልዌር እና የሳይበር ወንጀሎች መሳሪያዎች ያሉ ስጋቶችን ለመለየት በደንብ ይሰራል። የውሸት ውጤቶችን ለመቀነስ ደንቡ በአምራች አካባቢዎች በሻጩ ተፈትኗል። እና ለ SIGMA ፕሮጀክት ምስጋና ይግባውና አብዛኛዎቹ እነዚህ አመልካቾች አነስተኛ የድምፅ ክስተቶችን ያመጣሉ.

ምክንያቱም በ InTrust ውስጥ ይህ የክትትል ህግ ነው፣ ለአደጋ ምላሽ ምላሽ ስክሪፕት ማድረግ ይችላሉ። አብሮገነብ ከሆኑ ስክሪፕቶች አንዱን መጠቀም ወይም የራስዎን መፍጠር ይችላሉ እና InTrust በራስ-ሰር ያሰራጫል።

በተጨማሪም፣ ሁሉንም ከክስተት ጋር የተያያዙ ቴሌሜትሪዎችን መፈተሽ ይችላሉ፡ የPowerShell ስክሪፕቶች፣ የሂደት አፈፃፀም፣ የታቀዱ የተግባር ማጭበርበሮች፣ የWMI አስተዳደራዊ እንቅስቃሴ እና በደህንነት አደጋዎች ጊዜ ለድህረ-ሞት ሊጠቀሙባቸው ይችላሉ።

InTrust በመቶዎች የሚቆጠሩ ሌሎች ሕጎች አሉት፣ አንዳንዶቹም፦

• የPowerShell ቅነሳ ጥቃትን ማወቅ አንድ ሰው ሆን ብሎ የቆየ የPowerShell ስሪት ሲጠቀም ነው ምክንያቱም... በቀድሞው ስሪት ውስጥ ምን እየተከሰተ ያለውን ነገር ለመመርመር ምንም መንገድ አልነበረም.
• ከፍተኛ መብት ያለው የሎጎን ፈልጎ ማግኘት ማለት የአንድ የተወሰነ ልዩ መብት ቡድን አባል የሆኑ መለያዎች (እንደ ጎራ አስተዳዳሪዎች ያሉ) በአጋጣሚ ወይም በደህንነት አደጋዎች ወደ የስራ ቦታዎች ሲገቡ ነው።

InTrust ምርጥ የደህንነት ልማዶችን አስቀድሞ በተገለጸው የማወቂያ እና የምላሽ ደንቦች መልክ እንድትጠቀም ይፈቅድልሃል። እና የሆነ ነገር በተለየ መንገድ መስራት አለበት ብለው ካሰቡ የእራስዎን የደንቡን ቅጂ ማዘጋጀት እና እንደ አስፈላጊነቱ ማዋቀር ይችላሉ. አብራሪ ለመምራት ወይም ጊዜያዊ ፈቃድ ያለው የማከፋፈያ ኪት ለማግኘት ማመልከቻ ማስገባት ይችላሉ። የግብረመልስ ቅጽ በዌብሳይታችን ላይ.

የእኛን ይመዝገቡ የፌስቡክ ገጽ, አጫጭር ማስታወሻዎችን እና አስደሳች አገናኞችን እዚያ እናተምታለን.

ስለ የመረጃ ደህንነት ሌሎች ጽሑፎቻችንን ያንብቡ፡-

InTrust በRDP በኩል ያልተሳኩ የፍቃድ ሙከራዎችን መጠን ለመቀነስ እንዴት እንደሚያግዝ

የራንሰምዌር ጥቃትን አግኝተናል፣ ወደ ጎራ መቆጣጠሪያው መድረስ እና እነዚህን ጥቃቶች ለመቋቋም እንሞክራለን።

በዊንዶውስ ላይ የተመሰረተ የስራ ጣቢያ ከምዝግብ ማስታወሻዎች ምን ጠቃሚ ነገሮች ሊወጡ ይችላሉ? (ታዋቂ መጣጥፍ)

ያለ ፕላስ ወይም ቴፕ የተጠቃሚዎችን የህይወት ኡደት መከታተል

ማን ነው ያደረገው? የመረጃ ደህንነት ኦዲቶችን በራስ ሰር እንሰራለን።

የSIEM ስርዓት የባለቤትነት ዋጋ እንዴት እንደሚቀንስ እና ለምን ማዕከላዊ ሎግ አስተዳደር (ሲ.ኤል.ኤል.ኤም.) ያስፈልግዎታል

ምንጭ: hab.com