أحد أكثر أنواع الهجمات شيوعًا هو نشر عملية ضارة في شجرة في إطار عمليات محترمة تمامًا. قد يكون المسار إلى الملف القابل للتنفيذ مريبًا: غالبًا ما تستخدم البرامج الضارة مجلدات AppData أو Temp، وهذا ليس نموذجيًا بالنسبة للبرامج الشرعية. لكي نكون منصفين، تجدر الإشارة إلى أن بعض أدوات التحديث التلقائي يتم تنفيذها في AppData، لذا فإن مجرد التحقق من موقع الإطلاق لا يكفي للتأكد من أن البرنامج ضار.
هناك عامل إضافي للشرعية وهو التوقيع المشفر: حيث يتم توقيع العديد من البرامج الأصلية من قبل البائع. يمكنك استخدام حقيقة عدم وجود توقيع كوسيلة لتحديد عناصر بدء التشغيل المشبوهة. ولكن مرة أخرى، هناك برامج ضارة تستخدم شهادة مسروقة لتوقيع نفسها.
يمكنك أيضًا التحقق من قيمة تجزئة التشفير MD5 أو SHA256، والتي قد تتوافق مع بعض البرامج الضارة المكتشفة مسبقًا. يمكنك إجراء تحليل ثابت من خلال النظر إلى التوقيعات في البرنامج (باستخدام قواعد Yara أو منتجات مكافحة الفيروسات). هناك أيضًا التحليل الديناميكي (تشغيل برنامج في بيئة آمنة ومراقبة تصرفاته) والهندسة العكسية.
يمكن أن يكون هناك العديد من العلامات على وجود عملية ضارة. سنخبرك في هذه المقالة بكيفية تمكين تدقيق الأحداث ذات الصلة في Windows، وسنقوم بتحليل العلامات التي تعتمد عليها القاعدة المضمنة لتحديد العملية المشبوهة. إنتراست هو لجمع وتحليل وتخزين البيانات غير المنظمة، والتي تحتوي بالفعل على مئات من ردود الفعل المحددة مسبقًا لأنواع مختلفة من الهجمات.
عند تشغيل البرنامج، يتم تحميله في ذاكرة الكمبيوتر. يحتوي الملف القابل للتنفيذ على تعليمات الكمبيوتر والمكتبات الداعمة (على سبيل المثال، *.dll). عندما تكون العملية قيد التشغيل بالفعل، يمكنها إنشاء سلاسل رسائل إضافية. تسمح الخيوط لعملية بتنفيذ مجموعات مختلفة من التعليمات في وقت واحد. هناك العديد من الطرق التي يمكن أن تخترق بها التعليمات البرمجية الضارة الذاكرة وتعمل، دعنا نلقي نظرة على بعضها.
أسهل طريقة لإطلاق عملية ضارة هي إجبار المستخدم على تشغيلها مباشرةً (على سبيل المثال، من مرفق بريد إلكتروني)، ثم استخدام مفتاح RunOnce لتشغيلها في كل مرة يتم فيها تشغيل الكمبيوتر. يتضمن ذلك أيضًا برامج ضارة "بدون ملفات" تقوم بتخزين نصوص PowerShell النصية في مفاتيح التسجيل التي يتم تنفيذها بناءً على المشغل. في هذه الحالة، يعد البرنامج النصي PowerShell عبارة عن تعليمات برمجية ضارة.
تكمن المشكلة في تشغيل البرامج الضارة بشكل صريح في أنها طريقة معروفة ويمكن اكتشافها بسهولة. تقوم بعض البرامج الضارة بأشياء أكثر ذكاءً، مثل استخدام عملية أخرى لبدء التنفيذ في الذاكرة. لذلك، يمكن لعملية ما إنشاء عملية أخرى عن طريق تشغيل تعليمات كمبيوتر محددة وتحديد ملف قابل للتنفيذ (.exe) لتشغيله.
يمكن تحديد الملف باستخدام مسار كامل (على سبيل المثال، C:Windowssystem32cmd.exe) أو مسار جزئي (على سبيل المثال، cmd.exe). إذا كانت العملية الأصلية غير آمنة، فسوف تسمح بتشغيل البرامج غير الشرعية. يمكن أن يبدو الهجوم على النحو التالي: تقوم العملية بتشغيل cmd.exe دون تحديد المسار الكامل، ويضع المهاجم cmd.exe الخاص به في مكان بحيث تبدأ العملية قبل العملية الشرعية. بمجرد تشغيل البرامج الضارة، يمكنها بدورها تشغيل برنامج شرعي (مثل C:Windowssystem32cmd.exe) بحيث يستمر البرنامج الأصلي في العمل بشكل صحيح.
أحد أشكال الهجوم السابق هو حقن DLL في عملية مشروعة. عند بدء العملية، تقوم بالبحث عن المكتبات التي تعمل على توسيع وظائفها وتحميلها. باستخدام حقن DLL، يقوم المهاجم بإنشاء مكتبة ضارة بنفس الاسم وواجهة برمجة التطبيقات (API) مثل المكتبة الشرعية. يقوم البرنامج بتحميل مكتبة ضارة، ويقوم بدوره بتحميل مكتبة شرعية، ويستدعيها عند الضرورة لتنفيذ العمليات. تبدأ المكتبة الضارة في العمل كوكيل للمكتبة الجيدة.
هناك طريقة أخرى لوضع تعليمات برمجية ضارة في الذاكرة وهي إدخالها في عملية غير آمنة قيد التشغيل بالفعل. تتلقى العمليات مدخلات من مصادر مختلفة - القراءة من الشبكة أو الملفات. يقومون عادةً بإجراء فحص للتأكد من شرعية الإدخال. لكن بعض العمليات لا تتمتع بالحماية المناسبة عند تنفيذ التعليمات. في هذا الهجوم، لا توجد مكتبة على القرص أو ملف قابل للتنفيذ يحتوي على تعليمات برمجية ضارة. يتم تخزين كل شيء في الذاكرة مع العملية التي يتم استغلالها.
الآن دعونا نلقي نظرة على منهجية تمكين جمع مثل هذه الأحداث في Windows والقاعدة الموجودة في InTrust التي تنفذ الحماية ضد مثل هذه التهديدات. أولاً، دعونا نقوم بتنشيطه من خلال وحدة تحكم إدارة InTrust.
تستخدم القاعدة إمكانيات تتبع العمليات لنظام التشغيل Windows. ولسوء الحظ، فإن تمكين جمع مثل هذه الأحداث هو أبعد ما يكون عن الوضوح. هناك 3 إعدادات مختلفة لنهج المجموعة تحتاج إلى تغييرها:
تكوين الكمبيوتر > السياسات > إعدادات Windows > إعدادات الأمان > السياسات المحلية > سياسة التدقيق > تتبع عملية التدقيق
تكوين الكمبيوتر > السياسات > إعدادات Windows > إعدادات الأمان > تكوين سياسة التدقيق المتقدم > سياسات التدقيق > التتبع التفصيلي > إنشاء عملية التدقيق
تكوين الكمبيوتر > السياسات > قوالب الإدارة > النظام > إنشاء عملية التدقيق > تضمين سطر الأوامر في أحداث إنشاء العملية
بمجرد تمكينها، تسمح لك قواعد InTrust باكتشاف التهديدات غير المعروفة سابقًا والتي تظهر سلوكًا مشبوهًا. على سبيل المثال، يمكنك التعرف على البرمجيات الخبيثة Dridex. بفضل مشروع HP Bromium، أصبحنا نعرف كيف يعمل هذا التهديد.
في سلسلة إجراءاته، يستخدم Dridex ملف schtasks.exe لإنشاء مهمة مجدولة. يعد استخدام هذه الأداة المساعدة المحددة من سطر الأوامر سلوكًا مريبًا للغاية؛ حيث يبدو تشغيل ملف svchost.exe باستخدام معلمات تشير إلى مجلدات المستخدم أو باستخدام معلمات مشابهة لأوامر "net view" أو "whoami" مشابهًا. وهنا جزء من المقابلة :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themفي InTrust، يتم تضمين جميع السلوكيات المشبوهة في قاعدة واحدة، لأن معظم هذه الإجراءات ليست خاصة بتهديد معين، ولكنها مشبوهة في مجمع وفي 99٪ من الحالات تستخدم لأغراض غير نبيلة تمامًا. تتضمن قائمة الإجراءات هذه، على سبيل المثال لا الحصر، ما يلي:
- العمليات التي يتم تشغيلها من مواقع غير معتادة، مثل مجلدات المستخدم المؤقتة.
- عملية نظام معروفة ذات وراثة مشبوهة - قد تحاول بعض التهديدات استخدام اسم عمليات النظام لتظل غير مكتشفة.
- عمليات التنفيذ المشبوهة للأدوات الإدارية مثل cmd أو PsExec عند استخدام بيانات اعتماد النظام المحلي أو الميراث المشبوه.
- تعد عمليات النسخ الاحتياطي المشبوهة سلوكًا شائعًا لفيروسات برامج الفدية قبل تشفير النظام؛ فهي تقتل النسخ الاحتياطية:
- عبر vssadmin.exe؛
- عبر WMI. - تسجيل مقالب خلايا التسجيل بأكملها.
- الحركة الأفقية للتعليمات البرمجية الضارة عند إطلاق عملية عن بعد باستخدام أوامر مثل at.exe.
- عمليات المجموعة المحلية المشبوهة وعمليات المجال باستخدام net.exe.
- نشاط جدار الحماية مشبوه باستخدام netsh.exe.
- التلاعب المشبوه في الرباط الصليبي الأمامي.
- استخدام BITS لاستخلاص البيانات.
- التلاعبات المشبوهة مع WMI.
- أوامر البرنامج النصي المشبوهة.
- محاولات لتفريغ ملفات النظام الآمنة.
تعمل القاعدة المدمجة بشكل جيد للغاية لاكتشاف التهديدات مثل RUYK وLockerGoga وغيرها من برامج الفدية والبرامج الضارة ومجموعات أدوات الجرائم الإلكترونية. تم اختبار القاعدة من قبل البائع في بيئات الإنتاج لتقليل النتائج الإيجابية الخاطئة. وبفضل مشروع سيجما، تنتج معظم هذه المؤشرات أقل عدد ممكن من أحداث الضوضاء.
لأن في InTrust، هذه قاعدة مراقبة، يمكنك تنفيذ برنامج نصي للاستجابة كرد فعل على التهديد. يمكنك استخدام أحد البرامج النصية المضمنة أو إنشاء البرامج النصية الخاصة بك وسوف تقوم InTrust بتوزيعها تلقائيًا.
بالإضافة إلى ذلك، يمكنك فحص جميع عمليات القياس عن بعد المتعلقة بالحدث: البرامج النصية PowerShell، وتنفيذ العملية، وعمليات معالجة المهام المجدولة، والنشاط الإداري لـ WMI، واستخدامها في عمليات ما بعد الوفاة أثناء الحوادث الأمنية.
لدى InTrust مئات القواعد الأخرى، بعضها:
- يتم اكتشاف هجوم الرجوع إلى إصدار PowerShell عندما يستخدم شخص ما إصدارًا أقدم من PowerShell عمدًا بسبب... في الإصدار الأقدم لم تكن هناك طريقة لتدقيق ما كان يحدث.
- يتم اكتشاف تسجيل الدخول ذو الامتيازات العالية عندما تقوم الحسابات الأعضاء في مجموعة مميزة معينة (مثل مسؤولي المجال) بتسجيل الدخول إلى محطات العمل عن طريق الصدفة أو بسبب حوادث أمنية.
يتيح لك InTrust استخدام أفضل الممارسات الأمنية في شكل قواعد الكشف والتفاعل المحددة مسبقًا. وإذا كنت تعتقد أن شيئًا ما يجب أن يعمل بشكل مختلف، فيمكنك إنشاء نسختك الخاصة من القاعدة وتكوينها حسب الحاجة. يمكنك تقديم طلب لإجراء تجربة تجريبية أو الحصول على مجموعات التوزيع بتراخيص مؤقتة من خلال على موقعنا
اشترك في موقعنا ، ننشر ملاحظات قصيرة وروابط مثيرة للاهتمام هناك.
اقرأ مقالاتنا الأخرى حول أمن المعلومات:
(مقال شعبي)
المصدر: www.habr.com