আমরা Windows-এ সন্দেহজনক প্রসেস চালু করার বিষয়ে ইভেন্ট সংগ্রহ সক্ষম করি এবং Quest InTrust ব্যবহার করে হুমকি শনাক্ত করি

আক্রমণের সবচেয়ে সাধারণ ধরনগুলির মধ্যে একটি হল সম্পূর্ণ সম্মানজনক প্রক্রিয়ার অধীনে একটি গাছে একটি দূষিত প্রক্রিয়ার জন্ম। এক্সিকিউটেবল ফাইলের পথটি সন্দেহজনক হতে পারে: ম্যালওয়্যার প্রায়শই অ্যাপডেটা বা টেম্প ফোল্ডার ব্যবহার করে এবং এটি বৈধ প্রোগ্রামগুলির জন্য সাধারণ নয়। ন্যায্যভাবে, এটি বলার মতো যে কিছু স্বয়ংক্রিয় আপডেট ইউটিলিটি অ্যাপডেটাতে কার্যকর করা হয়, তাই প্রোগ্রামটি দূষিত তা নিশ্চিত করার জন্য শুধুমাত্র লঞ্চের অবস্থান পরীক্ষা করা যথেষ্ট নয়।

বৈধতার একটি অতিরিক্ত কারণ হল একটি ক্রিপ্টোগ্রাফিক স্বাক্ষর: অনেক মূল প্রোগ্রাম বিক্রেতা দ্বারা স্বাক্ষরিত হয়। সন্দেহজনক স্টার্টআপ আইটেম সনাক্ত করার জন্য একটি পদ্ধতি হিসাবে কোন স্বাক্ষর নেই এই সত্যটি আপনি ব্যবহার করতে পারেন। কিন্তু তারপরে আবার ম্যালওয়্যার আছে যা একটি চুরি করা শংসাপত্র ব্যবহার করে নিজেকে সাইন ইন করে।

আপনি MD5 বা SHA256 ক্রিপ্টোগ্রাফিক হ্যাশের মানও পরীক্ষা করতে পারেন, যা কিছু পূর্বে শনাক্ত করা ম্যালওয়্যারের সাথে মিল থাকতে পারে। আপনি প্রোগ্রামে স্বাক্ষর দেখে স্ট্যাটিক বিশ্লেষণ করতে পারেন (ইয়ারা নিয়ম বা অ্যান্টিভাইরাস পণ্য ব্যবহার করে)। এছাড়াও রয়েছে গতিশীল বিশ্লেষণ (কিছু নিরাপদ পরিবেশে একটি প্রোগ্রাম চালানো এবং তার ক্রিয়াকলাপ পর্যবেক্ষণ) এবং বিপরীত প্রকৌশল।

একটি দূষিত প্রক্রিয়ার অনেক লক্ষণ হতে পারে। এই নিবন্ধে আমরা আপনাকে জানাব কিভাবে উইন্ডোজে প্রাসঙ্গিক ইভেন্টগুলির অডিটিং সক্ষম করা যায়, আমরা বিল্ট-ইন নিয়মের উপর নির্ভর করে এমন লক্ষণগুলি বিশ্লেষণ করব InTrust একটি সন্দেহজনক প্রক্রিয়া সনাক্ত করতে। InTrust হল CLM প্ল্যাটফর্ম অসংগঠিত ডেটা সংগ্রহ, বিশ্লেষণ এবং সংরক্ষণের জন্য, যা ইতিমধ্যেই বিভিন্ন ধরণের আক্রমণের শত শত পূর্বনির্ধারিত প্রতিক্রিয়া রয়েছে।

প্রোগ্রামটি চালু হলে, এটি কম্পিউটারের মেমরিতে লোড হয়। এক্সিকিউটেবল ফাইলটিতে কম্পিউটার নির্দেশাবলী এবং সমর্থনকারী লাইব্রেরি রয়েছে (উদাহরণস্বরূপ, *.dll)। যখন একটি প্রক্রিয়া ইতিমধ্যেই চলছে, তখন এটি অতিরিক্ত থ্রেড তৈরি করতে পারে। থ্রেডগুলি একটি প্রক্রিয়াকে একই সাথে বিভিন্ন সেট নির্দেশাবলী চালানোর অনুমতি দেয়। ম্যালিসিয়াস কোডের মেমরি ভেদ করে চালানোর অনেক উপায় আছে, আসুন সেগুলির কয়েকটি দেখি।

একটি দূষিত প্রক্রিয়া চালু করার সবচেয়ে সহজ উপায় হল ব্যবহারকারীকে এটি সরাসরি চালু করতে বাধ্য করা (উদাহরণস্বরূপ, একটি ইমেল সংযুক্তি থেকে), তারপর প্রতিবার কম্পিউটার চালু করার সময় এটি চালু করতে RunOnce কী ব্যবহার করুন৷ এর মধ্যে "ফাইললেস" ম্যালওয়্যারও রয়েছে যা পাওয়ারশেল স্ক্রিপ্টগুলিকে রেজিস্ট্রি কীগুলিতে সংরক্ষণ করে যা একটি ট্রিগারের উপর ভিত্তি করে কার্যকর করা হয়। এই ক্ষেত্রে, পাওয়ারশেল স্ক্রিপ্টটি ক্ষতিকারক কোড।

স্পষ্টভাবে ম্যালওয়্যার চালানোর সমস্যা হল যে এটি একটি পরিচিত পদ্ধতি যা সহজেই সনাক্ত করা যায়। কিছু ম্যালওয়্যার আরও চতুর কাজ করে, যেমন মেমরিতে চালানো শুরু করার জন্য অন্য প্রক্রিয়া ব্যবহার করে। অতএব, একটি প্রক্রিয়া একটি নির্দিষ্ট কম্পিউটার নির্দেশনা চালিয়ে এবং চালানোর জন্য একটি এক্সিকিউটেবল ফাইল (.exe) নির্দিষ্ট করে অন্য প্রক্রিয়া তৈরি করতে পারে।

ফাইলটি একটি সম্পূর্ণ পাথ (উদাহরণস্বরূপ, C:Windowssystem32cmd.exe) বা একটি আংশিক পথ (উদাহরণস্বরূপ, cmd.exe) ব্যবহার করে নির্দিষ্ট করা যেতে পারে। যদি মূল প্রক্রিয়াটি অনিরাপদ হয় তবে এটি অবৈধ প্রোগ্রামগুলি চালানোর অনুমতি দেবে। একটি আক্রমণ এইরকম দেখতে পারে: একটি প্রক্রিয়া সম্পূর্ণ পথ নির্দিষ্ট না করেই cmd.exe চালু করে, আক্রমণকারী তার cmd.exe একটি জায়গায় রাখে যাতে প্রক্রিয়াটি বৈধ পথের আগে এটি চালু করে। একবার ম্যালওয়্যারটি চলে গেলে, এটি একটি বৈধ প্রোগ্রাম চালু করতে পারে (যেমন C:Windowssystem32cmd.exe) যাতে মূল প্রোগ্রামটি সঠিকভাবে কাজ করতে পারে।

পূর্ববর্তী আক্রমণের একটি পরিবর্তন হল একটি বৈধ প্রক্রিয়ার মধ্যে ডিএলএল ইনজেকশন। যখন একটি প্রক্রিয়া শুরু হয়, এটি লাইব্রেরিগুলি খুঁজে পায় এবং লোড করে যা এর কার্যকারিতা প্রসারিত করে। DLL ইনজেকশন ব্যবহার করে, একজন আক্রমণকারী একটি বৈধ নামে একই নাম এবং API সহ একটি দূষিত লাইব্রেরি তৈরি করে। প্রোগ্রামটি একটি দূষিত লাইব্রেরি লোড করে, এবং এটি, পরিবর্তে, একটি বৈধ একটি লোড করে এবং, প্রয়োজনে, এটিকে অপারেশন সঞ্চালনের জন্য কল করে। দূষিত লাইব্রেরি ভাল লাইব্রেরির জন্য একটি প্রক্সি হিসাবে কাজ করতে শুরু করে৷

মেমরিতে দূষিত কোড রাখার আরেকটি উপায় হল এটিকে একটি অনিরাপদ প্রক্রিয়ায় ঢোকানো যা ইতিমধ্যেই চলছে। প্রক্রিয়াগুলি বিভিন্ন উত্স থেকে ইনপুট গ্রহণ করে - নেটওয়ার্ক বা ফাইলগুলি থেকে পড়া। ইনপুটটি বৈধ কিনা তা নিশ্চিত করার জন্য তারা সাধারণত একটি পরীক্ষা করে। কিন্তু কিছু প্রক্রিয়ায় নির্দেশাবলী কার্যকর করার সময় যথাযথ সুরক্ষা থাকে না। এই আক্রমণে, দূষিত কোড ধারণকারী ডিস্ক বা এক্সিকিউটেবল ফাইলে কোন লাইব্রেরি নেই। শোষিত হচ্ছে প্রক্রিয়ার সাথে সবকিছু মেমরিতে সংরক্ষণ করা হয়।

এখন আসুন Windows-এ এই ধরনের ইভেন্টের সংগ্রহ সক্রিয় করার পদ্ধতি এবং InTrust-এর নিয়মের দিকে তাকাই যা এই ধরনের হুমকির বিরুদ্ধে সুরক্ষা প্রয়োগ করে। প্রথমে, আসুন InTrust ম্যানেজমেন্ট কনসোলের মাধ্যমে এটি সক্রিয় করি।

নিয়মটি Windows OS এর প্রক্রিয়া ট্র্যাকিং ক্ষমতা ব্যবহার করে। দুর্ভাগ্যবশত, এই ধরনের ইভেন্টের সংগ্রহ সক্রিয় করা সুস্পষ্ট নয়। 3টি ভিন্ন গ্রুপ পলিসি সেটিংস আপনাকে পরিবর্তন করতে হবে:

কম্পিউটার কনফিগারেশন > নীতি > উইন্ডোজ সেটিংস > নিরাপত্তা সেটিংস > স্থানীয় নীতি > অডিট নীতি > অডিট প্রক্রিয়া ট্র্যাকিং

কম্পিউটার কনফিগারেশন > পলিসিস > উইন্ডোজ সেটিংস > সিকিউরিটি সেটিংস > অ্যাডভান্সড অডিট পলিসি কনফিগারেশন > অডিট পলিসিস > ডিটেইল্ড ট্র্যাকিং > অডিট প্রক্রিয়া তৈরি

কম্পিউটার কনফিগারেশন > নীতি > প্রশাসনিক টেমপ্লেট > সিস্টেম > অডিট প্রক্রিয়া তৈরি > প্রক্রিয়া তৈরির ইভেন্টগুলিতে কমান্ড লাইন অন্তর্ভুক্ত করুন

একবার সক্ষম হয়ে গেলে, InTrust নিয়মগুলি আপনাকে পূর্বে অজানা হুমকিগুলি সনাক্ত করতে দেয় যা সন্দেহজনক আচরণ প্রদর্শন করে। উদাহরণস্বরূপ, আপনি সনাক্ত করতে পারেন এখানে বর্ণিত Dridex ম্যালওয়্যার। HP Bromium প্রকল্পের জন্য ধন্যবাদ, আমরা জানি কিভাবে এই হুমকি কাজ করে।

এর কর্মের শৃঙ্খলে, Dridex একটি নির্ধারিত কাজ তৈরি করতে schtasks.exe ব্যবহার করে। কমান্ড লাইন থেকে এই নির্দিষ্ট ইউটিলিটি ব্যবহার করা খুবই সন্দেহজনক আচরণ হিসেবে বিবেচিত হয়; ব্যবহারকারী ফোল্ডারের দিকে নির্দেশ করে এমন প্যারামিটার সহ বা "নেট ভিউ" বা "whoami" কমান্ডের অনুরূপ প্যারামিটার সহ svchost.exe চালু করা একই রকম দেখায়। এখানে সংশ্লিষ্ট একটি টুকরা সিগমা নিয়ম:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust-এ, সমস্ত সন্দেহজনক আচরণ একটি নিয়মে অন্তর্ভুক্ত করা হয়েছে, কারণ এই ক্রিয়াগুলির বেশিরভাগই একটি নির্দিষ্ট হুমকির জন্য নির্দিষ্ট নয়, বরং একটি জটিল ক্ষেত্রে সন্দেহজনক এবং 99% ক্ষেত্রে সম্পূর্ণ মহৎ উদ্দেশ্যে ব্যবহার করা হয় না। এই ক্রিয়াকলাপের তালিকার মধ্যে রয়েছে, তবে সীমাবদ্ধ নয়:

• ব্যবহারকারীর অস্থায়ী ফোল্ডারের মতো অস্বাভাবিক অবস্থান থেকে প্রসেস চলছে।
• সন্দেহজনক উত্তরাধিকারের সাথে সুপরিচিত সিস্টেম প্রক্রিয়া - কিছু হুমকি অচেনা থাকার জন্য সিস্টেম প্রক্রিয়াগুলির নাম ব্যবহার করার চেষ্টা করতে পারে।
• cmd বা PsExec এর মতো প্রশাসনিক সরঞ্জামগুলির সন্দেহজনক মৃত্যুদন্ড যখন তারা স্থানীয় সিস্টেম শংসাপত্র বা সন্দেহজনক উত্তরাধিকার ব্যবহার করে।
• একটি সিস্টেম এনক্রিপ্ট করার আগে সন্দেহজনক শ্যাডো কপি অপারেশনগুলি র্যানসমওয়্যার ভাইরাসগুলির একটি সাধারণ আচরণ; তারা ব্যাকআপগুলিকে মেরে ফেলে:

  — vssadmin.exe এর মাধ্যমে;
  - WMI এর মাধ্যমে।

• সম্পূর্ণ রেজিস্ট্রি আমবাত এর ডাম্প নিবন্ধন.
• at.exe-এর মতো কমান্ড ব্যবহার করে দূরবর্তীভাবে কোনো প্রক্রিয়া চালু হলে দূষিত কোডের অনুভূমিক গতিবিধি।
• net.exe ব্যবহার করে সন্দেহজনক স্থানীয় গ্রুপ অপারেশন এবং ডোমেন অপারেশন।
• netsh.exe ব্যবহার করে সন্দেহজনক ফায়ারওয়াল কার্যকলাপ।
• ACL এর সন্দেহজনক কারসাজি।
• ডেটা এক্সফিল্ট্রেশনের জন্য BITS ব্যবহার করা।
• WMI এর সাথে সন্দেহজনক ম্যানিপুলেশন।
• সন্দেহজনক স্ক্রিপ্ট কমান্ড.
• নিরাপদ সিস্টেম ফাইল ডাম্প করার প্রচেষ্টা।

RUYK, LockerGoga এবং অন্যান্য ransomware, ম্যালওয়্যার এবং সাইবার ক্রাইম টুলকিটের মতো হুমকি শনাক্ত করতে সম্মিলিত নিয়মটি খুব ভালোভাবে কাজ করে। মিথ্যা ইতিবাচক কমাতে উত্পাদন পরিবেশে বিক্রেতার দ্বারা নিয়মটি পরীক্ষা করা হয়েছে। এবং SIGMA প্রকল্পের জন্য ধন্যবাদ, এই সূচকগুলির বেশিরভাগই ন্যূনতম সংখ্যক শব্দ ইভেন্ট তৈরি করে।

কারণ InTrust এ এটি একটি পর্যবেক্ষণের নিয়ম, আপনি হুমকির প্রতিক্রিয়া হিসাবে একটি প্রতিক্রিয়া স্ক্রিপ্ট চালাতে পারেন। আপনি অন্তর্নির্মিত স্ক্রিপ্টগুলির একটি ব্যবহার করতে পারেন বা নিজের তৈরি করতে পারেন এবং InTrust স্বয়ংক্রিয়ভাবে এটি বিতরণ করবে।

উপরন্তু, আপনি সমস্ত ইভেন্ট-সম্পর্কিত টেলিমেট্রি পরিদর্শন করতে পারেন: পাওয়ারশেল স্ক্রিপ্ট, প্রসেস এক্সিকিউশন, নির্ধারিত টাস্ক ম্যানিপুলেশন, WMI প্রশাসনিক ক্রিয়াকলাপ, এবং নিরাপত্তা ঘটনার সময় পোস্ট-মর্টেমের জন্য সেগুলি ব্যবহার করুন।

InTrust এর আরও শত শত নিয়ম রয়েছে, তার মধ্যে কয়েকটি:

• একটি PowerShell ডাউনগ্রেড আক্রমণ সনাক্ত করা হয় যখন কেউ ইচ্ছাকৃতভাবে PowerShell এর একটি পুরানো সংস্করণ ব্যবহার করে কারণ... পুরানো সংস্করণে কি ঘটছে তা নিরীক্ষণ করার কোন উপায় ছিল না।
• হাই-প্রিভিলেজ লগইন সনাক্তকরণ হল যখন একটি নির্দিষ্ট সুবিধাপ্রাপ্ত গোষ্ঠীর সদস্য (যেমন ডোমেন অ্যাডমিনিস্ট্রেটর) অ্যাকাউন্টগুলি দুর্ঘটনাক্রমে বা নিরাপত্তা ঘটনার কারণে ওয়ার্কস্টেশনে লগ ইন করে।

InTrust আপনাকে পূর্বনির্ধারিত সনাক্তকরণ এবং প্রতিক্রিয়া বিধিগুলির আকারে সর্বোত্তম সুরক্ষা অনুশীলনগুলি ব্যবহার করার অনুমতি দেয়৷ এবং যদি আপনি মনে করেন যে কিছু ভিন্নভাবে কাজ করা উচিত, আপনি নিয়মের আপনার নিজস্ব অনুলিপি তৈরি করতে পারেন এবং প্রয়োজন অনুসারে এটি কনফিগার করতে পারেন। আপনি পাইলট পরিচালনার জন্য বা অস্থায়ী লাইসেন্স সহ বিতরণ কিট পাওয়ার জন্য একটি আবেদন জমা দিতে পারেন প্রতিক্রিয়া ফর্ম আমাদের ওয়েবসাইটে।

আমাদের সদস্যতা ফেসবুক পাতা, আমরা সেখানে ছোট নোট এবং আকর্ষণীয় লিঙ্ক প্রকাশ করি।

তথ্য নিরাপত্তা সম্পর্কিত আমাদের অন্যান্য নিবন্ধ পড়ুন:

কিভাবে InTrust RDP-এর মাধ্যমে ব্যর্থ অনুমোদন প্রচেষ্টার হার কমাতে সাহায্য করতে পারে

আমরা একটি র্যানসমওয়্যার আক্রমণ সনাক্ত করি, ডোমেন কন্ট্রোলারে অ্যাক্সেস পাই এবং এই আক্রমণগুলিকে প্রতিহত করার চেষ্টা করি

উইন্ডোজ-ভিত্তিক ওয়ার্কস্টেশনের লগগুলি থেকে কী দরকারী জিনিসগুলি বের করা যেতে পারে? (জনপ্রিয় নিবন্ধ)

প্লায়ার বা ডাক্ট টেপ ছাড়াই ব্যবহারকারীদের জীবনচক্র ট্র্যাক করা

কে এটা করেছিল? আমরা তথ্য নিরাপত্তা অডিট স্বয়ংক্রিয়

কিভাবে একটি SIEM সিস্টেমের মালিকানার খরচ কমাতে হয় এবং কেন আপনার সেন্ট্রাল লগ ম্যানেজমেন্ট (CLM) প্রয়োজন

উত্স: www.habr.com