Un o'r mathau mwyaf cyffredin o ymosodiadau yw silio proses faleisus mewn coeden o dan brosesau cwbl barchus. Gall y llwybr i'r ffeil gweithredadwy fod yn amheus: mae malware yn aml yn defnyddio'r ffolderi AppData neu Temp, ac nid yw hyn yn nodweddiadol ar gyfer rhaglenni cyfreithlon. I fod yn deg, mae'n werth dweud bod rhai cyfleustodau diweddaru awtomatig yn cael eu gweithredu yn AppData, felly nid yw gwirio lleoliad y lansiad yn ddigon i gadarnhau bod y rhaglen yn faleisus.
Ffactor ychwanegol o gyfreithlondeb yw llofnod cryptograffig: mae llawer o raglenni gwreiddiol yn cael eu llofnodi gan y gwerthwr. Gallwch ddefnyddio'r ffaith nad oes llofnod fel dull o adnabod eitemau cychwyn amheus. Ond yna eto mae malware sy'n defnyddio tystysgrif wedi'i ddwyn i lofnodi ei hun.
Gallwch hefyd wirio gwerth hashes cryptograffig MD5 neu SHA256, a allai gyfateb i rai malware a ganfuwyd yn flaenorol. Gallwch chi berfformio dadansoddiad statig trwy edrych ar lofnodion yn y rhaglen (gan ddefnyddio rheolau Yara neu gynhyrchion gwrthfeirws). Ceir hefyd ddadansoddiad deinamig (rhedeg rhaglen mewn rhyw amgylchedd diogel a monitro ei weithredoedd) a pheirianneg wrthdroi.
Gall fod llawer o arwyddion o broses faleisus. Yn yr erthygl hon byddwn yn dweud wrthych sut i alluogi archwilio digwyddiadau perthnasol yn Windows, byddwn yn dadansoddi'r arwyddion y mae'r rheol adeiledig yn dibynnu arnynt i nodi proses amheus. Mae InTrust yn ar gyfer casglu, dadansoddi a storio data distrwythur, sydd eisoes â channoedd o adweithiau wedi'u diffinio ymlaen llaw i wahanol fathau o ymosodiadau.
Pan fydd y rhaglen yn cael ei lansio, caiff ei llwytho i mewn i gof y cyfrifiadur. Mae'r ffeil gweithredadwy yn cynnwys cyfarwyddiadau cyfrifiadurol a llyfrgelloedd ategol (er enghraifft, *.dll). Pan fydd proses eisoes yn rhedeg, gall greu edafedd ychwanegol. Mae edafedd yn caniatáu proses i weithredu gwahanol setiau o gyfarwyddiadau ar yr un pryd. Mae yna lawer o ffyrdd i god maleisus dreiddio cof a rhedeg, gadewch i ni edrych ar rai ohonynt.
Y ffordd hawsaf o lansio proses faleisus yw gorfodi'r defnyddiwr i'w lansio'n uniongyrchol (er enghraifft, o atodiad e-bost), yna defnyddiwch yr allwedd RunOnce i'w lansio bob tro y bydd y cyfrifiadur yn cael ei droi ymlaen. Mae hyn hefyd yn cynnwys meddalwedd maleisus “di-ffeil” sy'n storio sgriptiau PowerShell mewn allweddi cofrestrfa sy'n cael eu gweithredu yn seiliedig ar sbardun. Yn yr achos hwn, cod maleisus yw sgript PowerShell.
Y broblem gyda malware sy'n rhedeg yn benodol yw ei fod yn ddull hysbys sy'n hawdd ei ganfod. Mae rhai malware yn gwneud pethau mwy clyfar, megis defnyddio proses arall i ddechrau gweithredu yn y cof. Felly, gall proses greu proses arall trwy redeg cyfarwyddyd cyfrifiadurol penodol a nodi ffeil weithredadwy (.exe) i'w rhedeg.
Gellir pennu'r ffeil gan ddefnyddio llwybr llawn (er enghraifft, C: Windowssystem32cmd.exe) neu lwybr rhannol (er enghraifft, cmd.exe). Os yw'r broses wreiddiol yn ansicr, bydd yn caniatáu i raglenni anghyfreithlon redeg. Gall ymosodiad edrych fel hyn: mae proses yn lansio cmd.exe heb nodi'r llwybr llawn, mae'r ymosodwr yn gosod ei cmd.exe mewn man fel bod y broses yn ei lansio cyn yr un cyfreithlon. Unwaith y bydd y malware yn rhedeg, gall yn ei dro lansio rhaglen gyfreithlon (fel C: Windowssystem32cmd.exe) fel bod y rhaglen wreiddiol yn parhau i weithio'n iawn.
Amrywiad o'r ymosodiad blaenorol yw pigiad DLL i broses gyfreithlon. Pan fydd proses yn cychwyn, mae'n dod o hyd i lyfrgelloedd ac yn eu llwytho sy'n ymestyn ei swyddogaeth. Gan ddefnyddio pigiad DLL, mae ymosodwr yn creu llyfrgell faleisus gyda'r un enw ac API fel un gyfreithlon. Mae'r rhaglen yn llwytho llyfrgell faleisus, ac mae, yn ei dro, yn llwytho un gyfreithlon, ac, yn ôl yr angen, yn ei galw i gyflawni gweithrediadau. Mae'r llyfrgell faleisus yn dechrau gweithredu fel dirprwy i'r llyfrgell dda.
Ffordd arall o roi cod maleisus yn y cof yw ei fewnosod i broses anniogel sydd eisoes yn rhedeg. Mae prosesau'n derbyn mewnbwn o ffynonellau amrywiol - darllen o'r rhwydwaith neu ffeiliau. Maent fel arfer yn cynnal gwiriad i sicrhau bod y mewnbwn yn gyfreithlon. Ond nid oes gan rai prosesau amddiffyniad priodol wrth weithredu cyfarwyddiadau. Yn yr ymosodiad hwn, nid oes llyfrgell ar ddisg na ffeil gweithredadwy sy'n cynnwys cod maleisus. Mae popeth yn cael ei storio yn y cof ynghyd â'r broses yn cael ei hecsbloetio.
Nawr, gadewch i ni edrych ar y fethodoleg ar gyfer galluogi casglu digwyddiadau o'r fath yn Windows a'r rheol yn InTrust sy'n gweithredu amddiffyniad rhag bygythiadau o'r fath. Yn gyntaf, gadewch i ni ei actifadu trwy gonsol rheoli InTrust.
Mae'r rheol yn defnyddio galluoedd olrhain prosesau Windows OS. Yn anffodus, mae galluogi casglu digwyddiadau o'r fath ymhell o fod yn amlwg. Mae yna 3 gosodiad Polisi Grŵp gwahanol y mae angen i chi eu newid:
Ffurfweddu Cyfrifiaduron > Polisïau > Gosodiadau Windows > Gosodiadau Diogelwch > Polisïau Lleol > Polisi Archwilio > Olrhain proses archwilio
Cyfluniad Cyfrifiadurol > Polisïau > Gosodiadau Windows > Gosodiadau Diogelwch > Ffurfweddiad Polisi Archwilio Uwch > Polisïau Archwilio > Olrhain Manwl > Creu proses archwilio
Ffurfweddiad Cyfrifiadurol > Polisïau > Templedi Gweinyddol > System > Creu Proses Archwilio > Cynnwys llinell orchymyn mewn digwyddiadau creu prosesau
Unwaith y bydd wedi'i alluogi, mae rheolau InTrust yn caniatáu ichi ganfod bygythiadau anhysbys o'r blaen sy'n arddangos ymddygiad amheus. Er enghraifft, gallwch chi adnabod Dridex drwgwedd. Diolch i brosiect HP Bromium, rydym yn gwybod sut mae'r bygythiad hwn yn gweithio.
Yn ei gadwyn o gamau gweithredu, mae Dridex yn defnyddio schtasks.exe i greu tasg a drefnwyd. Mae defnyddio'r cyfleustodau penodol hwn o'r llinell orchymyn yn cael ei ystyried yn ymddygiad amheus iawn; mae lansio svchost.exe gyda pharamedrau sy'n pwyntio at ffolderi defnyddwyr neu gyda pharamedrau tebyg i'r gorchmynion “golwg net” neu “whoami” yn edrych yn debyg. Dyma ddarn o'r cyfatebol :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themYn InTrust, mae pob ymddygiad amheus wedi'i gynnwys mewn un rheol, oherwydd nid yw'r rhan fwyaf o'r gweithredoedd hyn yn benodol i fygythiad penodol, ond yn hytrach yn amheus mewn cyfadeilad ac mewn 99% o achosion yn cael eu defnyddio at ddibenion nad ydynt yn gwbl fonheddig. Mae'r rhestr hon o gamau gweithredu yn cynnwys, ond nid yw'n gyfyngedig i:
- Prosesau sy'n rhedeg o leoliadau anarferol, megis ffolderi dros dro defnyddwyr.
- Proses system adnabyddus gydag etifeddiaeth amheus - efallai y bydd rhai bygythiadau yn ceisio defnyddio enw prosesau system i aros heb eu canfod.
- Gweithrediadau amheus o offer gweinyddol fel cmd neu PsExec pan fyddant yn defnyddio tystlythyrau system leol neu etifeddiaeth amheus.
- Mae gweithrediadau copi cysgodol amheus yn ymddygiad cyffredin o firysau ransomware cyn amgryptio system; maent yn lladd copïau wrth gefn:
— Trwy vssadmin.exe;
- Trwy WMI. - Cofrestru tomenni o gychod gwenyn cofrestredig cyfan.
- Symud cod maleisus yn llorweddol pan fydd proses yn cael ei lansio o bell gan ddefnyddio gorchmynion fel at.exe.
- Gweithrediadau grŵp lleol amheus a gweithrediadau parth gan ddefnyddio net.exe.
- Gweithgaredd wal dân amheus gan ddefnyddio netsh.exe.
- Triniaeth amheus o'r ACL.
- Defnyddio BITS ar gyfer all-hidlo data.
- Triniaethau amheus gyda WMI.
- Gorchmynion sgript amheus.
- Ymdrechion i ddympio ffeiliau system ddiogel.
Mae'r rheol gyfunol yn gweithio'n dda iawn i ganfod bygythiadau fel RUYK, LockerGoga a phecynnau cymorth ransomware, malware a seiberdroseddu eraill. Mae'r rheol wedi'i phrofi gan y gwerthwr mewn amgylcheddau cynhyrchu i leihau positifau ffug. A diolch i brosiect SIGMA, mae'r rhan fwyaf o'r dangosyddion hyn yn cynhyrchu nifer fach iawn o ddigwyddiadau sŵn.
Achos Yn InTrust rheol fonitro yw hon, gallwch chi weithredu sgript ymateb fel adwaith i fygythiad. Gallwch ddefnyddio un o'r sgriptiau adeiledig neu greu un eich hun a bydd InTrust yn ei ddosbarthu'n awtomatig.
Yn ogystal, gallwch archwilio'r holl delemetreg sy'n gysylltiedig â digwyddiadau: sgriptiau PowerShell, gweithredu prosesau, trin tasgau wedi'u hamserlennu, gweithgaredd gweinyddol WMI, a'u defnyddio ar gyfer post-mortem yn ystod digwyddiadau diogelwch.
Mae gan InTrust gannoedd o reolau eraill, rhai ohonynt:
- Canfod ymosodiad israddio PowerShell yw pan fydd rhywun yn defnyddio fersiwn hŷn o PowerShell yn fwriadol oherwydd ... yn y fersiwn hŷn nid oedd unrhyw ffordd i archwilio beth oedd yn digwydd.
- Canfod mewngofnodi braint uchel yw pan fydd cyfrifon sy'n aelodau o grŵp breintiedig penodol (fel gweinyddwyr parth) yn mewngofnodi i weithfannau ar ddamwain neu oherwydd digwyddiadau diogelwch.
Mae InTrust yn caniatáu ichi ddefnyddio arferion diogelwch gorau ar ffurf rheolau canfod ac ymateb wedi'u diffinio ymlaen llaw. Ac os ydych chi'n meddwl y dylai rhywbeth weithio'n wahanol, gallwch chi wneud eich copi eich hun o'r rheol a'i ffurfweddu yn ôl yr angen. Gallwch gyflwyno cais ar gyfer cynnal peilot neu gael citiau dosbarthu gyda thrwyddedau dros dro drwodd ar ein gwefan.
Tanysgrifiwch i'n , rydym yn cyhoeddi nodiadau byr a dolenni diddorol yno.
Darllenwch ein herthyglau eraill ar ddiogelwch gwybodaeth:
(erthygl boblogaidd)
Ffynhonnell: hab.com