یکی از رایج ترین انواع حملات، تخم ریزی یک فرآیند مخرب در یک درخت تحت فرآیندهای کاملاً قابل احترام است. مسیر فایل اجرایی ممکن است مشکوک باشد: بدافزار اغلب از پوشههای AppData یا Temp استفاده میکند و این برای برنامههای قانونی معمول نیست. اگر منصف باشیم، شایان ذکر است که برخی از ابزارهای به روز رسانی خودکار در AppData اجرا می شوند، بنابراین فقط بررسی مکان راه اندازی برای تأیید مخرب بودن برنامه کافی نیست.
یک عامل اضافی مشروعیت، امضای رمزنگاری است: بسیاری از برنامه های اصلی توسط فروشنده امضا می شوند. می توانید از عدم وجود امضا به عنوان روشی برای شناسایی موارد مشکوک راه اندازی استفاده کنید. اما دوباره بدافزاری وجود دارد که از گواهی سرقت شده برای امضای خود استفاده می کند.
همچنین می توانید مقدار هش رمزنگاری MD5 یا SHA256 را بررسی کنید، که ممکن است با برخی بدافزارهای شناسایی شده قبلی مطابقت داشته باشد. شما می توانید با مشاهده امضاهای موجود در برنامه (با استفاده از قوانین یارا یا محصولات آنتی ویروس) آنالیز استاتیک را انجام دهید. همچنین تجزیه و تحلیل پویا (اجرای یک برنامه در برخی از محیط های امن و نظارت بر اقدامات آن) و مهندسی معکوس وجود دارد.
ممکن است نشانه های زیادی از یک فرآیند مخرب وجود داشته باشد. در این مقاله به شما خواهیم گفت که چگونه می توانید ممیزی رویدادهای مربوطه را در ویندوز فعال کنید، علائمی را که قانون داخلی بر آنها تکیه دارد را تجزیه و تحلیل خواهیم کرد. برای شناسایی یک فرآیند مشکوک اینتراست است برای جمع آوری، تجزیه و تحلیل و ذخیره داده های بدون ساختار، که در حال حاضر دارای صدها واکنش از پیش تعریف شده به انواع مختلف حملات است.
هنگامی که برنامه راه اندازی می شود، در حافظه کامپیوتر بارگذاری می شود. فایل اجرایی حاوی دستورالعمل های کامپیوتری و کتابخانه های پشتیبانی کننده (به عنوان مثال *.dll) است. هنگامی که یک فرآیند از قبل در حال اجرا است، می تواند رشته های اضافی ایجاد کند. Thread ها به یک فرآیند اجازه می دهند تا مجموعه های مختلفی از دستورالعمل ها را به طور همزمان اجرا کند. راه های زیادی برای نفوذ کدهای مخرب به حافظه و اجرا وجود دارد، بیایید به برخی از آنها نگاه کنیم.
سادهترین راه برای راهاندازی یک فرآیند مخرب این است که کاربر را مجبور کنید که مستقیماً آن را راهاندازی کند (مثلاً از یک پیوست ایمیل)، سپس از کلید RunOnce برای راهاندازی آن هر بار که رایانه روشن میشود استفاده کنید. این همچنین شامل بدافزار «بدون فایل» میشود که اسکریپتهای PowerShell را در کلیدهای رجیستری ذخیره میکند که بر اساس یک ماشه اجرا میشوند. در این مورد، اسکریپت PowerShell یک کد مخرب است.
مشکل بدافزاری که به طور واضح اجرا می شود این است که یک رویکرد شناخته شده است که به راحتی قابل شناسایی است. برخی از بدافزارها کارهای هوشمندانه تری انجام می دهند، مانند استفاده از فرآیند دیگری برای شروع اجرا در حافظه. بنابراین، یک فرآیند می تواند با اجرای یک دستورالعمل کامپیوتری خاص و تعیین یک فایل اجرایی (.exe) برای اجرا، فرآیند دیگری ایجاد کند.
فایل را می توان با استفاده از یک مسیر کامل (مثلاً C:Windowssystem32cmd.exe) یا یک مسیر جزئی (مثلاً cmd.exe) مشخص کرد. اگر فرآیند اصلی ناامن باشد، به برنامه های نامشروع اجازه اجرا می دهد. یک حمله می تواند به این شکل باشد: یک فرآیند cmd.exe را بدون مشخص کردن مسیر کامل راه اندازی می کند، مهاجم cmd.exe خود را در مکانی قرار می دهد تا فرآیند آن را قبل از مورد قانونی راه اندازی کند. هنگامی که بدافزار اجرا می شود، به نوبه خود می تواند یک برنامه قانونی (مانند C:Windowssystem32cmd.exe) راه اندازی کند تا برنامه اصلی به درستی کار کند.
یکی از انواع حمله قبلی تزریق DLL به یک فرآیند قانونی است. هنگامی که یک فرآیند شروع می شود، کتابخانه هایی را پیدا کرده و بارگذاری می کند که عملکرد آن را گسترش می دهند. با استفاده از تزریق DLL، یک مهاجم یک کتابخانه مخرب با همان نام و API به عنوان یک کتابخانه قانونی ایجاد می کند. این برنامه یک کتابخانه مخرب را بارگیری می کند و به نوبه خود یک کتابخانه قانونی را بارگیری می کند و در صورت لزوم آن را برای انجام عملیات فراخوانی می کند. کتابخانه مخرب شروع به عمل به عنوان یک پروکسی برای کتابخانه خوب می کند.
راه دیگر برای قرار دادن کدهای مخرب در حافظه، قرار دادن آن در یک فرآیند ناامن است که از قبل در حال اجرا است. فرآیندها ورودی را از منابع مختلف دریافت می کنند - خواندن از شبکه یا فایل ها. آنها معمولاً برای اطمینان از قانونی بودن ورودی، بررسی می کنند. اما برخی از فرآیندها هنگام اجرای دستورالعمل ها حفاظت مناسبی ندارند. در این حمله، هیچ کتابخانه ای روی دیسک یا فایل اجرایی حاوی کد مخرب وجود ندارد. همه چیز همراه با فرآیند مورد سوء استفاده در حافظه ذخیره می شود.
حال بیایید به متدولوژی فعال کردن مجموعه چنین رویدادهایی در ویندوز و قانون InTrust که محافظت در برابر چنین تهدیداتی را پیاده سازی می کند نگاهی بیندازیم. ابتدا اجازه دهید آن را از طریق کنسول مدیریت InTrust فعال کنیم.
این قانون از قابلیت های ردیابی فرآیند سیستم عامل ویندوز استفاده می کند. متأسفانه امکان گردآوری چنین رویدادهایی بدیهی نیست. 3 تنظیمات مختلف Group Policy وجود دارد که باید تغییر دهید:
پیکربندی رایانه > سیاست ها > تنظیمات ویندوز > تنظیمات امنیتی > سیاست های محلی > خط مشی حسابرسی > ردیابی فرآیند حسابرسی
پیکربندی رایانه > سیاست ها > تنظیمات ویندوز > تنظیمات امنیتی > پیکربندی خط مشی حسابرسی پیشرفته > سیاست های حسابرسی > ردیابی تفصیلی > ایجاد فرآیند حسابرسی
پیکربندی رایانه > سیاست ها > الگوهای اداری > سیستم > ایجاد فرآیند حسابرسی > شامل خط فرمان در رویدادهای ایجاد فرآیند
پس از فعال شدن، قوانین InTrust به شما این امکان را می دهد که تهدیدات ناشناخته قبلی را که رفتار مشکوکی از خود نشان می دهند، شناسایی کنید. برای مثال می توانید شناسایی کنید بدافزار Dridex به لطف پروژه HP Bromium، ما می دانیم که این تهدید چگونه کار می کند.
Dridex در زنجیره اقدامات خود از schtasks.exe برای ایجاد یک کار زمان بندی شده استفاده می کند. استفاده از این ابزار خاص از خط فرمان رفتاری بسیار مشکوک در نظر گرفته میشود؛ راهاندازی svchost.exe با پارامترهایی که به پوشههای کاربر اشاره میکنند یا با پارامترهایی شبیه به دستورات «net view» یا «whoami» مشابه به نظر میرسد. در اینجا بخشی از متن مربوطه است :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themدر InTrust، تمام رفتارهای مشکوک در یک قانون گنجانده شده است، زیرا اکثر این اقدامات مختص یک تهدید خاص نیستند، بلکه در یک مجموعه مشکوک هستند و در 99٪ موارد برای اهداف نه کاملاً شرافتمندانه استفاده می شوند. این لیست از اقدامات شامل، اما محدود به موارد زیر نیست:
- فرآیندهایی که از مکانهای غیرمعمول مانند پوشههای موقت کاربر اجرا میشوند.
- فرآیند سیستمی شناخته شده با وراثت مشکوک - برخی از تهدیدات ممکن است سعی کنند از نام فرآیندهای سیستم برای شناسایی نشدن استفاده کنند.
- اجرای مشکوک ابزارهای اداری مانند cmd یا PsExec هنگامی که از اعتبار سیستم محلی یا ارث بری مشکوک استفاده می کنند.
- عملیات کپی سایه مشکوک یک رفتار رایج ویروس های باج افزار قبل از رمزگذاری یک سیستم است؛ آنها پشتیبان ها را از بین می برند:
- از طریق vssadmin.exe؛
- از طریق WMI - زباله های کل کندوهای رجیستری را ثبت کنید.
- حرکت افقی کدهای مخرب هنگامی که یک فرآیند از راه دور با استفاده از دستوراتی مانند at.exe راه اندازی می شود.
- عملیات گروه محلی مشکوک و عملیات دامنه با استفاده از net.exe.
- فعالیت مشکوک فایروال با استفاده از netsh.exe.
- دستکاری مشکوک ACL.
- استفاده از BITS برای استخراج داده ها
- دستکاری های مشکوک با WMI.
- دستورات اسکریپت مشکوک
- تلاش برای تخلیه فایل های سیستم ایمن.
قانون ترکیبی برای شناسایی تهدیدهایی مانند RUYK، LockerGoga و سایر باج افزارها، بدافزارها و جعبه ابزارهای جرایم سایبری بسیار خوب عمل می کند. این قانون توسط فروشنده در محیط های تولید آزمایش شده است تا مثبت کاذب را به حداقل برساند. و به لطف پروژه SIGMA، اکثر این شاخص ها حداقل تعداد رویدادهای نویز را تولید می کنند.
زیرا در InTrust این یک قانون نظارت است، شما می توانید یک اسکریپت پاسخ را به عنوان یک واکنش به یک تهدید اجرا کنید. می توانید از یکی از اسکریپت های داخلی استفاده کنید یا اسکریپت خود را ایجاد کنید و InTrust به طور خودکار آن را توزیع می کند.
علاوه بر این، میتوانید تمام تلهمتریهای مربوط به رویداد را بررسی کنید: اسکریپتهای PowerShell، اجرای فرآیند، دستکاریهای برنامهریزیشده وظایف، فعالیتهای مدیریتی WMI، و از آنها برای پس از مرگ در طول حوادث امنیتی استفاده کنید.
InTrust صدها قانون دیگر دارد که برخی از آنها عبارتند از:
- تشخیص حمله کاهش رتبه PowerShell زمانی است که شخصی عمداً از نسخه قدیمی PowerShell استفاده می کند زیرا ... در نسخه قدیمی هیچ راهی برای ممیزی آنچه در حال رخ دادن بود وجود نداشت.
- تشخیص ورود با امتیاز بالا زمانی است که حسابهایی که اعضای یک گروه خاص (مانند مدیران دامنه) هستند به طور تصادفی یا به دلیل حوادث امنیتی به ایستگاههای کاری وارد میشوند.
InTrust به شما اجازه می دهد تا از بهترین شیوه های امنیتی در قالب قوانین تشخیص و واکنش از پیش تعریف شده استفاده کنید. و اگر فکر میکنید که چیزی باید متفاوت عمل کند، میتوانید از قانون کپی خود را تهیه کرده و آن را در صورت نیاز پیکربندی کنید. شما می توانید درخواست انجام آزمایشی یا دریافت کیت های توزیع با مجوزهای موقت را از طریق ارسال کنید در وب سایت ما
مشترک ما شوید ، یادداشت های کوتاه و لینک های جالب را در آنجا منتشر می کنیم.
سایر مقالات ما در مورد امنیت اطلاعات را بخوانید:
(مقاله محبوب)
منبع: www.habr.com