Eraso mota ohikoenetako bat zuhaitz batean prozesu maltzurren bat sortzea da prozesu guztiz errespetagarrietan. Fitxategi exekutagarriaren bidea susmagarria izan daiteke: malwareak sarritan AppData edo Temp karpetak erabiltzen ditu, eta hori ez da ohikoa programa legitimoetarako. Bidezkoa izateko, merezi du AppData-n eguneratze automatikoko utilitate batzuk exekutatzen direla, beraz, abiarazteko kokapena egiaztatzea ez da nahikoa programa gaiztoa dela baieztatzeko.
Zilegitasun-faktore gehigarri bat sinadura kriptografikoa da: jatorrizko programa asko saltzaileak sinatzen ditu. Sinadurarik ez dagoela abiarazteko elementu susmagarriak identifikatzeko metodo gisa erabil dezakezu. Baina berriro ere badago lapurtutako ziurtagiri bat bere burua sinatzeko erabiltzen duen malwarea.
MD5 edo SHA256 hash kriptografikoen balioa ere egiaztatu dezakezu, aldez aurretik detektaturiko malware batzuei dagokie. Analisi estatikoa egin dezakezu sinadurak programan begiratuz (Yara arauak edo birusen aurkako produktuak erabiliz). Analisi dinamikoa (programa bat ingurune seguru batean exekutatu eta bere ekintzak kontrolatzea) eta alderantzizko ingeniaritza ere badaude.
Prozesu maltzur baten zantzu asko egon daitezke. Artikulu honetan Windows-en gertaera garrantzitsuen auditoretza nola gaitu esango dizugu, integratutako arauak oinarritzen diren seinaleak aztertuko ditugu. prozesu susmagarri bat identifikatzeko. Konfiantza da Egituratu gabeko datuak biltzeko, aztertzeko eta gordetzeko, dagoeneko hainbat eraso motaren aurrean aurredefinitutako ehunka erreakzio dituena.
Programa abiarazten denean, ordenagailuaren memorian kargatzen da. Fitxategi exekutagarriak ordenagailuko argibideak eta liburutegi osagarriak ditu (adibidez, *.dll). Prozesu bat dagoeneko martxan dagoenean, hari gehigarriak sor ditzake. Hariek prozesu bati jarraibide multzo desberdinak aldi berean exekutatzeko aukera ematen diote. Kode gaiztoak memorian sartu eta exekutatzeko modu asko daude, ikus ditzagun horietako batzuk.
Prozesu maltzur bat abiarazteko modurik errazena erabiltzailea zuzenean abiarazteko behartzea da (adibidez, posta elektronikoaren eranskin batetik), ondoren RunOnce tekla erabiltzea ordenagailua pizten den bakoitzean abiarazteko. Horrek "fitxategirik gabeko" malwarea ere barne hartzen du, abiarazle batean oinarrituta exekutatzen diren erregistro-gakoetan PowerShell scriptak gordetzen dituena. Kasu honetan, PowerShell script-a kode gaiztoa da.
Malware esplizituki exekutatzearen arazoa erraz detektatzen den hurbilketa ezaguna dela da. Malware batzuek gauza burutsuagoak egiten dituzte, esate baterako, beste prozesu bat erabiltzea memorian exekutatzen hasteko. Hori dela eta, prozesu batek beste prozesu bat sor dezake ordenagailuko instrukzio zehatz bat exekutatuz eta exekutatzeko fitxategi exekutagarri bat (.exe) zehaztuz.
Fitxategia bide osoa (adibidez, C:Windowssystem32cmd.exe) edo bide partziala (adibidez, cmd.exe) erabiliz zehaztu daiteke. Jatorrizko prozesua segurua ez bada, legez kanpoko programak exekutatzeko aukera emango du. Eraso bat honelakoa izan daiteke: prozesu batek cmd.exe abiarazten du bide osoa zehaztu gabe, erasotzaileak bere cmd.exe leku batean jartzen du, prozesuak legezkoaren aurretik abiarazi dezan. Malwarea exekutatzen denean, programa legitimo bat abiarazi dezake (adibidez, C:Windowssystem32cmd.exe), jatorrizko programak behar bezala funtzionatzen jarrai dezan.
Aurreko erasoaren aldaera DLL prozesu legitimo batean sartzea da. Prozesu bat hasten denean, bere funtzionaltasuna zabaltzen duten liburutegiak aurkitzen eta kargatzen ditu. DLL injekzioa erabiliz, erasotzaile batek liburutegi maltzur bat sortzen du legezko izen eta API batekin. Programak liburutegi maltzur bat kargatzen du, eta, aldi berean, zilegi bat kargatzen du, eta, behar izanez gero, dei egiten dio eragiketak egiteko. Liburutegi gaiztoa liburutegi onaren proxy gisa jokatzen hasten da.
Kode gaiztoa memorian sartzeko beste modu bat dagoeneko martxan dagoen prozesu seguru batean txertatzea da. Prozesuek hainbat iturritatik jasotzen dute sarrera - saretik edo fitxategietatik irakurtzen. Normalean egiaztapen bat egiten dute sarrera zilegia dela ziurtatzeko. Baina prozesu batzuek ez dute babes egokirik instrukzioak exekutatzen direnean. Eraso honetan, ez dago kode gaiztoa duen diskoan edo fitxategi exekutagarri batean liburutegirik. Dena memorian gordetzen da ustiatzen den prozesuarekin batera.
Orain ikus ditzagun Windows-en gertakari horiek biltzea gaitzeko metodologia eta mehatxu horien aurkako babesa ezartzen duen InTrust-en araua. Lehenik eta behin, aktibatu dezagun InTrust kudeaketa kontsolaren bidez.
Arauak Windows OSaren prozesuaren jarraipena egiteko gaitasunak erabiltzen ditu. Zoritxarrez, horrelako gertakarien bilketa gaitzea ez dago begi bistakoa. Aldatu behar dituzun 3 talde-politika ezarpen desberdin daude:
Ordenagailuaren konfigurazioa > Politikak > Windows ezarpenak > Segurtasun ezarpenak > Tokiko politikak > Ikuskaritza politika > Ikuskaritza prozesuaren jarraipena
Ordenagailuaren konfigurazioa > Politikak > Windows ezarpenak > Segurtasun ezarpenak > Ikuskaritza politika aurreratuen konfigurazioa > Ikuskaritza politikak > Jarraipen zehatza > Ikuskaritza prozesuaren sorrera
Ordenagailuaren konfigurazioa > Politikak > Administrazio txantiloiak > Sistema > Ikuskaritza prozesuaren sorrera > Sartu komando-lerroa prozesuak sortzeko gertaeretan
Gaituta dagoenean, InTrust arauek jokabide susmagarriak erakusten dituzten mehatxu ezezagunak detektatzeko aukera ematen dute. Adibidez, identifikatu dezakezu Dridex malwarea. HP Bromium proiektuari esker badakigu mehatxu honek nola funtzionatzen duen.
Bere ekintza-katean, Dridex-ek schtasks.exe erabiltzen du programatutako zeregin bat sortzeko. Komando-lerrotik erabilgarritasun jakin hau erabiltzea oso portaera susmagarritzat jotzen da; svchost.exe abiarazteak erabiltzailearen karpetetara zuzentzen duten parametroekin edo "net view" edo "whoami" komandoen antzeko parametroekin antzeko itxura du. Hona hemen dagokion zati bat :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust-en, portaera susmagarri guztiak arau batean sartzen dira, ekintza horietako gehienak ez direlako mehatxu jakin baterako espezifikoak, baizik eta konplexu batean susmagarriak direlako eta kasuen% 99an helburu ez guztiz nobleetarako erabiltzen dira. Ekintzen zerrenda honek barne hartzen ditu, baina ez dira mugatzen:
- Ezohiko kokapenetatik exekutatzen diren prozesuak, hala nola erabiltzailearen behin-behineko karpetak.
- Sistema-prozesu ezaguna herentzia susmagarria duena - mehatxu batzuk sistema-prozesuen izena erabiltzen saia daitezke detektatu gabe geratzeko.
- CMD edo PsExec bezalako administrazio-tresnen exekuzio susmagarriak sistema lokaleko kredentzialak edo herentzia susmagarriak erabiltzen dituztenean.
- Itzal kopia susmagarriak sistema bat enkriptatu aurretik ransomware birusen jokaera ohikoa da; babeskopiak hiltzen dituzte:
- vssadmin.exe bidez;
- WMI bidez. - Erregistratu erregistroko erlauntza osoen zabortegiak.
- Kode gaiztoaren mugimendu horizontala prozesu bat urrunetik abiarazten denean at.exe bezalako komandoak erabiliz.
- Tokiko talde-eragiketa susmagarriak eta domeinu-eragiketak net.exe erabiliz.
- Suebaki jarduera susmagarriak netsh.exe erabiliz.
- ACLren manipulazio susmagarria.
- BITS erabiliz datuak infiltraziorako.
- WMI-rekin manipulazio susmagarriak.
- Script komando susmagarriak.
- Sistema seguruko fitxategiak iraultzeko saiakerak.
Arau konbinatuak oso ondo funtzionatzen du RUYK, LockerGoga eta beste ransomware, malware eta ziberdelituen tresnak bezalako mehatxuak detektatzeko. Araua saltzaileak probatu du produkzio-inguruneetan positibo faltsuak minimizatzeko. Eta SIGMA proiektuari esker, adierazle horietako gehienek zarata-gertakari kopuru minimo bat sortzen dute.
Zeren InTrust-en jarraipen-arau bat da, erantzun-script bat exekutatu dezakezu mehatxu baten aurrean erreakzio gisa. Inkorporatutako scriptetako bat erabil dezakezu edo zurea sortu eta InTrust-ek automatikoki banatuko du.
Horrez gain, gertakariekin lotutako telemetria guztiak ikus ditzakezu: PowerShell script-ak, prozesuen exekuzioa, programatutako zereginen manipulazioak, WMI-ren administrazio-jarduera, eta auto-mortemetarako erabil ditzakezu segurtasun-intzidenteetan.
InTrust-ek beste ehunka arau ditu, horietako batzuk:
- PowerShell downgrade eraso bat detektatzea norbaitek nahita PowerShell-en bertsio zaharrago bat erabiltzen duenean gertatzen da... bertsio zaharrean ez zegoen gertatzen ari zena ikuskatzeko modurik.
- Pribilegio handiko saio-hasiera hautematea talde pribilegiatu jakin bateko kide diren kontuak (adibidez, domeinu-administratzaileak) lan-estazioetan istripuz edo segurtasun-intzidentziaren ondorioz hasten direnean gertatzen da.
InTrust-ek segurtasun-praktika onenak erabiltzeko aukera ematen dizu, aurrez definitutako detekzio- eta erantzun-arauetan. Eta zerbaitek beste modu batera funtzionatu beharko lukeela uste baduzu, arauaren kopia propioa egin dezakezu eta behar den moduan konfiguratu. Pilotu bat egiteko edo behin-behineko lizentziadun banaketa-kitak lortzeko eskaera aurkez dezakezu gure webgunean.
Harpidetu gure , ohar laburrak eta esteka interesgarriak argitaratzen ditugu bertan.
Irakurri informazioaren segurtasunari buruzko gure beste artikuluak:
(artikulu ezaguna)
Iturria: www.habr.com