Usa sa labing kasagaran nga mga matang sa pag-atake mao ang pagpamunga sa usa ka malisyosong proseso sa usa ka kahoy ubos sa hingpit nga respetado nga mga proseso. Ang agianan padulong sa executable file mahimong hinungdan sa pagduda: ang malware kanunay nga naggamit sa mga folder sa AppData o Temp, ug kini dili kasagaran sa mga lehitimong programa. Aron mahimong patas, angay nga isulti nga ang pipila ka mga awtomatikong pag-update nga mga utilities gipatuman sa AppData, busa ang pagsusi lang sa lokasyon sa paglansad dili igo aron makumpirma nga ang programa malisyoso.
Usa ka dugang nga hinungdan sa pagkalehitimo mao ang usa ka cryptographic nga pirma: daghang orihinal nga mga programa ang gipirmahan sa vendor. Mahimo nimong gamiton ang kamatuoran nga walay pirma isip pamaagi sa pag-ila sa mga kadudahang butang sa pagsugod. Apan pag-usab adunay malware nga naggamit sa usa ka kinawat nga sertipiko aron pirmahan ang kaugalingon.
Mahimo usab nimong susihon ang kantidad sa MD5 o SHA256 cryptographic hash, nga mahimong katumbas sa pipila nga nakit-an kaniadto nga malware. Mahimo nimong buhaton ang static nga pagtuki pinaagi sa pagtan-aw sa mga pirma sa programa (gamit ang mga lagda sa Yara o mga produkto sa antivirus). Adunay usab dinamikong pagtuki (pagpadagan sa usa ka programa sa pipila ka luwas nga palibot ug pagmonitor sa mga aksyon niini) ug reverse engineering.
Mahimong adunay daghang mga timailhan sa usa ka malisyosong proseso. Niini nga artikulo isulti namon kanimo kung giunsa ang paghimo sa pag-audit sa mga may kalabutan nga mga panghitabo sa Windows, among analisahon ang mga timailhan nga gisaligan sa built-in nga lagda. aron mahibal-an ang usa ka kadudahang proseso. Ang InTrust kay alang sa pagkolekta, pag-analisar ug pagtipig sa wala'y istruktura nga datos, nga aduna nay gatusan nga gitakda nang daan nga mga reaksyon sa nagkalain-laing matang sa mga pag-atake.
Sa diha nga ang programa gilansad, kini gikarga sa panumduman sa kompyuter. Ang executable file adunay mga instruksiyon sa kompyuter ug pagsuporta sa mga librarya (pananglitan, *.dll). Sa diha nga ang usa ka proseso nagdagan na, kini makahimo og dugang nga mga hilo. Gitugotan sa mga hilo ang usa ka proseso nga ipatuman ang lainlaing set sa mga panudlo nga dungan. Adunay daghang mga paagi alang sa malisyosong code sa pagsulod sa memorya ug pagdagan, atong tan-awon ang pipila niini.
Ang pinakasayon ββnga paagi sa paglansad og malisyoso nga proseso mao ang pagpugos sa user nga ilunsad kini direkta (pananglitan, gikan sa email attachment), unya gamita ang RunOnce key aron ilunsad kini matag higayon nga ang computer ma-on. Naglakip usab kini sa "fileless" nga malware nga nagtipig sa mga script sa PowerShell sa mga yawe sa rehistro nga gipatuman base sa usa ka gatilyo. Niini nga kaso, ang PowerShell script kay malisyoso nga code.
Ang problema sa klaro nga pagpadagan sa malware mao nga kini usa ka nahibal-an nga pamaagi nga dali mahibal-an. Ang ubang mga malware naghimo sa mas maalamon nga mga butang, sama sa paggamit sa laing proseso aron magsugod sa pagpatuman sa memorya. Busa, ang usa ka proseso makahimo og lain nga proseso pinaagi sa pagpadagan sa usa ka piho nga instruksiyon sa kompyuter ug pagtino sa usa ka executable file (.exe) nga ipadagan.
Ang file mahimong espesipiko gamit ang usa ka bug-os nga agianan (pananglitan, C:Windowssystem32cmd.exe) o usa ka partial nga agianan (pananglitan, cmd.exe). Kung ang orihinal nga proseso dili sigurado, kini magtugot sa mga dili lehitimong programa nga modagan. Ang usa ka pag-atake mahimong ingon niini: ang usa ka proseso maglansad sa cmd.exe nga wala ipiho ang tibuuk nga agianan, ang tig-atake nagbutang sa iyang cmd.exe sa usa ka lugar aron ang proseso maglansad niini sa wala pa ang lehitimong usa. Sa diha nga ang malware modagan, kini sa baylo maglunsad og usa ka lehitimong programa (sama sa C:Windowssystem32cmd.exe) aron ang orihinal nga programa magpadayon sa pagtrabaho sa husto.
Ang usa ka kalainan sa miaging pag-atake mao ang DLL injection ngadto sa usa ka lehitimong proseso. Kung magsugod ang usa ka proseso, makit-an ug ma-load ang mga librarya nga nagpalapad sa pagpaandar niini. Gamit ang DLL injection, ang usa ka tig-atake nagmugna og usa ka malisyoso nga librarya nga adunay parehas nga ngalan ug API nga usa ka lehitimo. Ang programa nag-load sa usa ka malisyoso nga librarya, ug kini, sa baylo, nag-load sa usa ka lehitimo, ug, kung gikinahanglan, nagtawag niini aron mahimo ang mga operasyon. Ang malisyoso nga librarya nagsugod sa paglihok isip proxy alang sa maayong librarya.
Ang laing paagi sa pagbutang og malisyoso nga code ngadto sa memorya mao ang pagsal-ot niini ngadto sa dili luwas nga proseso nga nagdagan na. Ang mga proseso nakadawat input gikan sa lainlaing mga gigikanan - pagbasa gikan sa network o mga file. Kasagaran sila maghimo usa ka tseke aron masiguro nga lehitimo ang input. Apan ang ubang mga proseso walay saktong panalipod sa dihang nagpatuman sa mga instruksiyon. Niini nga pag-atake, walay librarya sa disk o executable file nga adunay malisyosong code. Ang tanan gitipigan sa memorya kauban ang proseso nga gipahimuslan.
Karon atong tan-awon ang pamaagi sa pagpagana sa pagkolekta sa maong mga panghitabo sa Windows ug ang lagda sa InTrust nga nagpatuman sa panalipod batok sa maong mga hulga. Una, ato kining i-activate pinaagi sa InTrust management console.
Ang lagda naggamit sa mga kapabilidad sa pagsubay sa proseso sa Windows OS. Ikasubo, ang pagpagana sa pagkolekta sa maong mga panghitabo layo sa klaro. Adunay 3 ka lainlaing mga setting sa Patakaran sa Grupo nga kinahanglan nimong usbon:
Configuration sa Computer > Mga Patakaran > Mga Setting sa Windows > Mga Setting sa Seguridad > Lokal nga Patakaran > Patakaran sa Audit > Pagsubay sa proseso sa pag-audit
Configuration sa Computer > Mga Patakaran > Mga Setting sa Windows > Mga Setting sa Seguridad > Advanced Audit Policy Configuration > Mga Patakaran sa Pag-audit > Detalyadong Pagsubay > Pagmugna sa proseso sa pag-audit
Computer Configuration > Mga Patakaran > Administrative Templates > System > Audit Process Creation > Ilakip ang command line sa proseso sa paghimo sa mga panghitabo
Kung mahimo na, gitugotan ka sa mga lagda sa InTrust nga makit-an ang wala nahibal-an kaniadto nga mga hulga nga nagpakita sa kadudahang pamatasan. Pananglitan, mahimo nimong mailhan Dridex malware. Salamat sa proyekto sa HP Bromium, nahibal-an namon kung giunsa kini nga hulga molihok.
Sa kadena sa mga aksyon niini, gigamit ni Dridex ang schtasks.exe aron makahimo usa ka naka-iskedyul nga buluhaton. Ang paggamit niining partikular nga utility gikan sa command line gikonsiderar nga makaduda kaayo nga kinaiya; ang paglansad sa svchost.exe nga adunay mga parameter nga nagpunting sa mga folder sa user o adunay mga parameter nga susama sa "net view" o "whoami" nga mga sugo morag susama. Ania ang usa ka tipik sa katumbas :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themSa InTrust, ang tanan nga katahapan nga pamatasan gilakip sa usa ka lagda, tungod kay kadaghanan sa kini nga mga aksyon dili espesipiko sa usa ka partikular nga hulga, apan labi ka katahap sa usa ka komplikado ug sa 99% sa mga kaso gigamit alang sa dili hingpit nga halangdon nga katuyoan. Kini nga lista sa mga aksyon naglakip, apan dili limitado sa:
- Mga proseso nga nagdagan gikan sa dili kasagaran nga mga lokasyon, sama sa mga temporaryo nga folder sa gumagamit.
- Nailhan nga proseso sa sistema nga adunay kadudahang panulondon - pipila ka mga hulga mahimong mosulay sa paggamit sa ngalan sa mga proseso sa sistema aron magpabilin nga dili mamatikdan.
- Kadudahang pagpatuman sa mga himan sa administratibo sama sa cmd o PsExec kung mogamit sila og mga kredensyal sa lokal nga sistema o kadudahang kabilin.
- Ang mga kadudahang operasyon sa pagkopya sa anino usa ka sagad nga pamatasan sa mga virus sa ransomware sa wala pa i-encrypt ang usa ka sistema; gipatay nila ang mga backup:
β Pinaagi sa vssadmin.exe;
- Pinaagi sa WMI. - Irehistro ang mga dumps sa tibuok nga registry hives.
- Horizontal nga paglihok sa malisyoso nga code kung ang usa ka proseso gilunsad sa layo gamit ang mga sugo sama sa at.exe.
- Kadudahang mga operasyon sa lokal nga grupo ug mga operasyon sa domain gamit ang net.exe.
- Kadudahang kalihokan sa firewall gamit ang netsh.exe.
- Kadudahang pagmaniobra sa ACL.
- Paggamit sa BITS alang sa data exfiltration.
- Mga kadudahang manipulasyon sa WMI.
- Kadudahang mga sugo sa script.
- Mga pagsulay sa paglabay sa luwas nga mga file sa sistema.
Ang hiniusa nga lagda nagtrabaho pag-ayo aron mahibal-an ang mga hulga sama sa RUYK, LockerGoga ug uban pang ransomware, malware ug mga toolkit sa cybercrime. Ang lagda gisulayan sa vendor sa mga palibot sa produksiyon aron maminusan ang mga sayup nga positibo. Ug salamat sa proyekto sa SIGMA, kadaghanan sa kini nga mga timailhan nagpatunghag gamay nga gidaghanon sa mga panghitabo sa kasaba.
Kay Sa InTrust kini usa ka lagda sa pagmonitor, mahimo nimong ipatuman ang script sa tubag ingon usa ka reaksyon sa usa ka hulga. Mahimo nimong gamiton ang usa sa mga built-in nga script o paghimo og imong kaugalingon ug ang InTrust awtomatik nga iapud-apod kini.
Dugang pa, mahimo nimong susihon ang tanan nga telemetry nga may kalabotan sa panghitabo: Mga script sa PowerShell, pagpatuman sa proseso, naka-iskedyul nga pagmaniobra sa buluhaton, kalihokan sa administratibo sa WMI, ug gamiton kini alang sa mga post-mortem sa panahon sa mga insidente sa seguridad.
Ang InTrust adunay gatusan ka ubang mga lagda, pipila niini:
- Ang pag-ila sa usa ka pag-atake sa pag-downgrade sa PowerShell mao kung adunay usa nga tinuyo nga naggamit sa usa ka karaan nga bersyon sa PowerShell tungod kay... sa mas karaan nga bersyon walay paagi sa pag-audit kung unsa ang nahitabo.
- Ang high-privilege logon detection mao ang panahon nga ang mga account nga miyembro sa usa ka partikular nga pribilihiyo nga grupo (sama sa domain administrators) mag-log on sa mga workstation nga aksidente o tungod sa mga insidente sa seguridad.
Gitugotan ka sa InTrust nga magamit ang labing kaayo nga mga gawi sa seguridad sa porma sa gitakda nang daan nga pagtuki ug mga lagda sa reaksyon. Ug kung sa imong hunahuna adunay usa ka butang nga kinahanglan nga molihok nga lahi, mahimo nimo ang imong kaugalingon nga kopya sa lagda ug i-configure kini kung gikinahanglan. Mahimo nimong isumite ang aplikasyon alang sa pagdumala sa usa ka piloto o pagkuha sa mga kit sa pag-apod-apod nga adunay mga temporaryo nga lisensya pinaagi sa sa among website.
Mag-subscribe sa among , kami nagpatik ug mugbo nga mga nota ug makapaikag nga mga link didto.
Basaha ang among ubang mga artikulo bahin sa seguridad sa impormasyon:
(popular nga artikulo)
Source: www.habr.com