Hücumların ən çox yayılmış növlərindən biri, tamamilə hörmətli proseslər altında bir ağacda zərərli bir prosesin yayılmasıdır. İcra olunan fayla gedən yol şübhəli ola bilər: zərərli proqram tez-tez AppData və ya Temp qovluqlarından istifadə edir və bu, qanuni proqramlar üçün xarakterik deyil. Ədalətli olmaq üçün bəzi avtomatik yeniləmə kommunallarının AppData-da icra edildiyini söyləməyə dəyər, ona görə də proqramın zərərli olduğunu təsdiqləmək üçün sadəcə işə salınma yerini yoxlamaq kifayət deyil.
Qanuniliyin əlavə faktoru kriptoqrafik imzadır: bir çox orijinal proqramlar satıcı tərəfindən imzalanır. Şübhəli başlanğıc elementlərini müəyyən etmək üçün bir üsul olaraq heç bir imzanın olmaması faktından istifadə edə bilərsiniz. Ancaq sonra yenidən imzalamaq üçün oğurlanmış sertifikatdan istifadə edən zərərli proqram var.
Siz həmçinin MD5 və ya SHA256 kriptoqrafik heşlərin dəyərini yoxlaya bilərsiniz ki, bu da əvvəllər aşkar edilmiş bəzi zərərli proqramlara uyğun ola bilər. Proqramdakı imzalara baxaraq statik analiz edə bilərsiniz (Yara qaydaları və ya antivirus məhsullarından istifadə etməklə). Həmçinin dinamik analiz (bir proqramın hansısa təhlükəsiz mühitdə işlədilməsi və onun hərəkətlərinin monitorinqi) və tərs mühəndislik var.
Zərərli prosesin bir çox əlaməti ola bilər. Bu yazıda Windows-da müvafiq hadisələrin auditini necə aktivləşdirəcəyinizi sizə xəbər verəcəyik, daxili qaydanın əsaslandığı əlamətləri təhlil edəcəyik. şübhəli prosesi müəyyən etmək. InTrust edir müxtəlif növ hücumlara qarşı yüzlərlə əvvəlcədən təyin edilmiş reaksiyaları olan strukturlaşdırılmamış məlumatların toplanması, təhlili və saxlanması üçün.
Proqram işə salındıqda kompüterin yaddaşına yüklənir. İcra olunan faylda kompüter təlimatları və dəstəkləyici kitabxanalar (məsələn, *.dll) var. Proses artıq işlədikdə, o, əlavə mövzular yarada bilər. Mövzular bir prosesə eyni vaxtda müxtəlif təlimat dəstlərini yerinə yetirməyə imkan verir. Zərərli kodun yaddaşa nüfuz etməsi və işləməsi üçün bir çox yol var, gəlin onlardan bəzilərinə baxaq.
Zərərli prosesi işə salmağın ən asan yolu istifadəçini onu birbaşa işə salmağa məcbur etməkdir (məsələn, e-poçt əlavəsindən), sonra kompüter hər dəfə işə salındıqda onu işə salmaq üçün RunOnce düyməsini istifadə edin. Buraya, həmçinin, tetikleyici əsasında icra edilən reyestr açarlarında PowerShell skriptlərini saxlayan “faylsız” zərərli proqram daxildir. Bu halda, PowerShell skripti zərərli koddur.
Zərərli proqram təminatının açıq şəkildə işlədilməsi ilə bağlı problem onun asanlıqla aşkarlanan məlum yanaşma olmasıdır. Bəzi zərərli proqramlar yaddaşda icra etməyə başlamaq üçün başqa bir prosesdən istifadə etmək kimi daha ağıllı işlər görür. Buna görə də, bir proses xüsusi kompüter təlimatını işə salmaqla və işə salınacaq icra olunan faylı (.exe) təyin etməklə başqa bir proses yarada bilər.
Fayl tam yoldan (məsələn, C:Windowssystem32cmd.exe) və ya qismən yoldan (məsələn, cmd.exe) istifadə etməklə müəyyən edilə bilər. Orijinal proses təhlükəsiz deyilsə, qeyri-qanuni proqramların işləməsinə icazə verəcəkdir. Hücum belə görünə bilər: proses tam yolu göstərmədən cmd.exe-ni işə salır, təcavüzkar cmd.exe-ni elə yerə qoyur ki, proses onu qanuni olandan əvvəl işə salsın. Zərərli proqram işə düşdükdən sonra o, öz növbəsində qanuni proqramı (məsələn, C:Windowssystem32cmd.exe) işə sala bilər ki, orijinal proqram düzgün işləməyə davam etsin.
Əvvəlki hücumun bir variantı qanuni prosesə DLL inyeksiyasıdır. Proses başlayanda onun funksionallığını genişləndirən kitabxanaları tapır və yükləyir. DLL inyeksiyasından istifadə edərək, təcavüzkar qanuni kitabxana ilə eyni ad və API ilə zərərli kitabxana yaradır. Proqram zərərli kitabxananı yükləyir və o, öz növbəsində qanuni olanı yükləyir və lazım gəldikdə əməliyyatları yerinə yetirməyə çağırır. Zərərli kitabxana yaxşı kitabxana üçün proxy rolunu oynamağa başlayır.
Zərərli kodu yaddaşa yerləşdirməyin başqa bir yolu onu artıq işləyən təhlükəli prosesə daxil etməkdir. Proseslər müxtəlif mənbələrdən məlumat alır - şəbəkədən və ya fayllardan oxuyur. Girişin qanuni olmasını təmin etmək üçün adətən yoxlama aparırlar. Ancaq bəzi proseslər təlimatları yerinə yetirərkən lazımi qorunmaya malik deyil. Bu hücumda diskdə heç bir kitabxana və ya zərərli kodu ehtiva edən icra edilə bilən fayl yoxdur. Hər şey istismar olunan proseslə birlikdə yaddaşda saxlanılır.
İndi gəlin Windows-da bu cür hadisələrin toplanmasının təmin edilməsi metodologiyasına və bu cür təhlükələrdən müdafiəni həyata keçirən InTrust-da qaydaya baxaq. Əvvəlcə onu InTrust idarəetmə konsolu vasitəsilə aktivləşdirək.
Qayda Windows ƏS-nin prosesi izləmə imkanlarından istifadə edir. Təəssüf ki, bu cür hadisələrin toplanmasına imkan vermək heç də aydın deyil. Dəyişdirməli olduğunuz 3 fərqli Qrup Siyasəti parametrləri var:
Kompüter Konfiqurasiyası > Siyasətlər > Windows Parametrləri > Təhlükəsizlik Parametrləri > Yerli Siyasətlər > Audit Siyasəti > Audit prosesinin izlənməsi
Kompüter Konfiqurasiyası > Siyasətlər > Windows Parametrləri > Təhlükəsizlik Parametrləri > Qabaqcıl Audit Siyasəti Konfiqurasiyası > Audit Siyasətləri > Ətraflı İzləmə > Audit prosesinin yaradılması
Kompüter Konfiqurasiyası > Siyasətlər > İnzibati Şablonlar > Sistem > Prosesin yaradılmasını yoxlayın > Prosesin yaradılması hadisələrinə komanda xəttini daxil edin
Aktivləşdirildikdən sonra InTrust qaydaları şübhəli davranış nümayiş etdirən əvvəllər naməlum təhlükələri aşkarlamağa imkan verir. Məsələn, müəyyən edə bilərsiniz Dridex zərərli proqram. HP Bromium layihəsi sayəsində biz bu təhlükənin necə işlədiyini bilirik.
Fəaliyyətlər zəncirində Dridex planlaşdırılmış tapşırıq yaratmaq üçün schtasks.exe-dən istifadə edir. Bu xüsusi yardım proqramını komanda xəttindən istifadə etmək çox şübhəli davranış hesab olunur; svchost.exe-ni istifadəçi qovluqlarına işarə edən parametrlərlə və ya "xalis görünüş" və ya "whoami" əmrlərinə oxşar parametrlərlə işə salmaq oxşar görünür. Budur müvafiq fraqment :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust-da bütün şübhəli davranışlar bir qaydaya daxil edilir, çünki bu hərəkətlərin əksəriyyəti konkret təhlükəyə xas deyil, əksinə kompleksdə şübhəlidir və 99% hallarda tamamilə nəcib məqsədlər üçün istifadə olunur. Bu fəaliyyət siyahısına daxildir, lakin bunlarla məhdudlaşmır:
- İstifadəçinin müvəqqəti qovluqları kimi qeyri-adi yerlərdən işləyən proseslər.
- Şübhəli mirasla tanınmış sistem prosesi - bəzi təhdidlər aşkarlanmamaq üçün sistem proseslərinin adından istifadə etməyə cəhd edə bilər.
- Cmd və ya PsExec kimi inzibati alətlər yerli sistem etimadnaməsini və ya şübhəli mirasdan istifadə etdikdə onların şübhəli icrası.
- Şübhəli kölgə nüsxəsi əməliyyatları sistemi şifrələməzdən əvvəl ransomware viruslarının ümumi davranışıdır; onlar ehtiyat nüsxələri öldürür:
— vssadmin.exe vasitəsilə;
- WMI vasitəsilə. - Bütün reyestr yuvalarının zibilliklərini qeyd edin.
- Proses uzaqdan at.exe kimi əmrlərdən istifadə edərək işə salındıqda zərərli kodun üfüqi hərəkəti.
- Şübhəli yerli qrup əməliyyatları və net.exe istifadə edərək domen əməliyyatları.
- netsh.exe istifadə edərək şübhəli firewall fəaliyyəti.
- ACL-nin şübhəli manipulyasiyası.
- Məlumatların çıxarılması üçün BITS-dən istifadə.
- WMI ilə şübhəli manipulyasiyalar.
- Şübhəli skript əmrləri.
- Təhlükəsiz sistem fayllarını atmaq cəhdləri.
Birləşdirilmiş qayda RUYK, LockerGoga və digər ransomware, zərərli proqram və kibercinayətkarlıq alətləri kimi təhlükələri aşkar etmək üçün çox yaxşı işləyir. Saxta müsbətləri minimuma endirmək üçün qayda istehsalçı tərəfindən istehsal mühitlərində sınaqdan keçirilmişdir. Və SIGMA layihəsi sayəsində bu göstəricilərin əksəriyyəti minimal sayda səs-küy hadisəsi yaradır.
Çünki InTrust-da bu monitorinq qaydasıdır, siz təhlükəyə reaksiya olaraq cavab skriptini icra edə bilərsiniz. Siz daxili skriptlərdən birini istifadə edə və ya özünüz yarada bilərsiniz və InTrust onu avtomatik olaraq yayacaq.
Bundan əlavə, siz hadisə ilə bağlı bütün telemetriyanı yoxlaya bilərsiniz: PowerShell skriptləri, prosesin icrası, planlaşdırılmış tapşırıq manipulyasiyaları, WMI inzibati fəaliyyəti və təhlükəsizlik insidentləri zamanı onlardan postmortemlər üçün istifadə edin.
InTrust-un yüzlərlə başqa qaydaları var, onlardan bəziləri:
- PowerShell-in səviyyəsinin aşağı salınması hücumunun aşkarlanması, kimsənin bilərəkdən PowerShell-in köhnə versiyasından istifadə etməsidir, çünki... köhnə versiyada baş verənləri yoxlamaq üçün heç bir yol yox idi.
- Yüksək imtiyazlı giriş aşkarlanması müəyyən imtiyazlı qrupun üzvü olan hesabların (məsələn, domen administratorları) təsadüfən və ya təhlükəsizlik insidentləri səbəbindən iş stansiyalarına daxil olmasıdır.
InTrust sizə qabaqcadan təyin edilmiş aşkarlama və cavab qaydaları şəklində ən yaxşı təhlükəsizlik təcrübələrindən istifadə etməyə imkan verir. Və bir şeyin fərqli işləməli olduğunu düşünürsənsə, qaydanın öz surətini yarada və lazım olduqda konfiqurasiya edə bilərsiniz. Pilotun aparılması və ya müvəqqəti lisenziyalarla paylama dəstlərinin alınması üçün ərizə təqdim edə bilərsiniz saytımızda.
Bizim kanalımıza abunə olun , biz orada qısa qeydlər və maraqlı keçidlər dərc edirik.
İnformasiya təhlükəsizliyi ilə bağlı digər məqalələrimizi oxuyun:
(məşhur məqalə)
Mənbə: www.habr.com