Ceann de na cineálacha ionsaithe is coitianta ná sceitheadh próiseas mailíseach i gcrann faoi phróisis atá go hiomlán measúil. Féadfaidh an cosán chuig an gcomhad inrite a bheith amhrasach: is minic a úsáideann malware na fillteáin AppData nó Temp, agus níl sé seo tipiciúil do chláir dhlisteanacha. Chun a bheith cothrom, is fiú a rá go ndéantar roinnt fóntais nuashonraithe uathoibríoch a fhorghníomhú in AppData, mar sin ní leor ach an suíomh seolta a sheiceáil chun a dhearbhú go bhfuil an clár mailíseach.
Fachtóir breise dlisteanachta is ea síniú cripteagrafach: tá go leor clár bunaidh sínithe ag an díoltóir. Is féidir leat úsáid a bhaint as an bhfíric nach bhfuil aon síniú mar mhodh chun míreanna tosaithe amhrasacha a aithint. Ach ansin arís tá malware ann a úsáideann deimhniú goidte chun é féin a shíniú.
Is féidir leat luach hashes cripteagrafach MD5 nó SHA256 a sheiceáil freisin, a d'fhéadfadh a bheith ag freagairt do roinnt malware a braitheadh roimhe seo. Is féidir leat anailís statach a dhéanamh trí bhreathnú ar shínithe sa chlár (ag úsáid rialacha Yara nó táirgí frithvíreas). Tá anailís dhinimiciúil ann freisin (clár a reáchtáil i dtimpeallacht shábháilte éigin agus monatóireacht a dhéanamh ar a ghníomhartha) agus innealtóireacht droim ar ais.
Is féidir go leor comharthaí a bheith ann de phróiseas mailíseach. San Airteagal seo inseoimid duit conas iniúchadh a dhéanamh ar imeachtaí ábhartha i Windows, déanfaimid anailís ar na comharthaí a bhfuil an riail ionsuite ag brath orthu chun próiseas amhrasach a aithint. Tá InTrust chun sonraí neamhstruchtúrtha a bhailiú, a anailísiú agus a stóráil, a bhfuil na céadta frithghníomhartha réamhshainithe acu cheana féin ar chineálacha éagsúla ionsaithe.
Nuair a sheoltar an clár, luchtaítear isteach i gcuimhne an ríomhaire é. Tá treoracha ríomhaire agus leabharlanna tacaíochta (mar shampla, *.dll) sa chomhad inrite. Nuair a bhíonn próiseas ar siúl cheana féin, is féidir leis snáitheanna breise a chruthú. Ligeann snáitheanna próiseas chun tacair éagsúla treoracha a fhorghníomhú ag an am céanna. Tá go leor bealaí chun cód mailíseach chun penetrate cuimhne agus a rith, a ligean ar breathnú ar roinnt acu.
Is é an bealach is éasca chun próiseas mailíseach a sheoladh ná iallach a chur ar an úsáideoir é a sheoladh go díreach (mar shampla, ó cheangaltán ríomhphoist), ansin bain úsáid as an eochair RunOnce chun é a sheoladh gach uair a chuirtear an ríomhaire ar siúl. Áirítear leis seo freisin malware “gan chomhad” a stórálann scripteanna PowerShell in eochracha clárlainne a fhorghníomhaítear bunaithe ar thruicear. Sa chás seo, is cód mailíseach é an script PowerShell.
Is í an fhadhb a bhaineann le malware a reáchtáil go sainráite ná gur cur chuige aitheanta é a bhraitear go héasca. Déanann roinnt malware rudaí níos cliste, mar shampla próiseas eile a úsáid chun tús a chur le feidhmiú mar chuimhne. Mar sin, is féidir le próiseas próiseas eile a chruthú trí threoir ríomhaire ar leith a reáchtáil agus comhad inrite (.exe) a shonrú le rith.
Is féidir an comhad a shonrú ag baint úsáide as cosán iomlán (mar shampla, C: Windowssystem32cmd.exe) nó cosán páirteach (mar shampla, cmd.exe). Mura bhfuil an bunphróiseas cinnte, ligfidh sé do chláir neamhdhlisteanacha a rith. Is féidir le ionsaí breathnú mar seo: seolann próiseas cmd.exe gan an cosán iomlán a shonrú, cuireann an t-ionsaitheoir a cmd.exe in áit ionas go seolann an próiseas é roimh an gceann dlisteanach. Nuair a ritheann an malware, is féidir leis clár dlisteanach a sheoladh (mar C:Windowssystem32cmd.exe) ionas go leanann an bunchlár ag oibriú i gceart.
Athrú ar an ionsaí roimhe seo is ea instealladh DLL isteach i bpróiseas dlisteanach. Nuair a thosaíonn próiseas, aimsíonn sé agus lódálann sé leabharlanna a leathnaíonn a fheidhmiúlacht. Ag baint úsáide as instealladh DLL, cruthaíonn ionsaitheoir leabharlann mailíseach leis an ainm céanna agus API mar cheann dlisteanach. Luchtaíonn an clár leabharlann mhailíseach, agus lódálann sé, ar a seal, ceann dhlisteanach, agus, de réir mar is gá, iarrann sé uirthi oibríochtaí a dhéanamh. Tosaíonn an leabharlann mhailíseach ag gníomhú mar sheachvótálaí don leabharlann mhaith.
Bealach eile chun cód mailíseach a chur i gcuimhne ná é a chur isteach i bpróiseas neamhshábháilte atá ar siúl cheana féin. Faigheann próisis ionchur ó fhoinsí éagsúla - léamh ón líonra nó comhaid. De ghnáth déanann siad seiceáil lena chinntiú go bhfuil an t-ionchur dlisteanach. Ach níl cosaint cheart ag roinnt próisis nuair a bhíonn treoracha á bhforghníomhú. San ionsaí seo, níl aon leabharlann ar diosca nó comhad inrite ina bhfuil cód mailíseach. Stóráiltear gach rud sa chuimhne chomh maith leis an bpróiseas atá á shaothrú.
Anois, déanaimis féachaint ar an modheolaíocht chun bailiú imeachtaí den sórt sin i Windows a chumasú agus an riail in InTrust a chuireann cosaint i bhfeidhm i gcoinne bagairtí den sórt sin. Ar dtús, déanaimis é a ghníomhachtú trí chonsól bainistíochta InTrust.
Úsáideann an riail cumais rianaithe próisis Windows OS. Ar an drochuair, tá sé i bhfad ó bheith soiléir go bhféadfaí imeachtaí den sórt sin a bhailiú. Tá 3 shocrú Beartais Grúpa éagsúla ann nach mór duit a athrú:
Cumraíocht Ríomhaireachta > Beartais > Socruithe Windows > Socruithe Slándála > Polasaithe Áitiúla > Beartas Iniúchta > Rianú próisis iniúchta
Cumraíocht Ríomhaireachta > Beartais > Socruithe Windows > Socruithe Slándála > Cumraíocht Beartais Ard-Iniúchta > Polasaithe Iniúchta > Rianú Mionsonraithe > Cruthú próisis iniúchta
Cumraíocht Ríomhaireachta > Polasaithe > Teimpléid Riaracháin > Córas > Cruthú Próisis Iniúchta > Cuir an líne ordaithe in imeachtaí cruthaithe próisis
Nuair a bheidh tú cumasaithe, ceadaíonn rialacha InTrust duit bagairtí nach raibh aithne orthu roimhe seo a bhrath a léiríonn iompar amhrasach. Mar shampla, is féidir leat a aithint Dridex malware. A bhuíochas leis an tionscadal HP Bromium, tá a fhios againn conas a oibríonn an bhagairt seo.
Ina slabhra gníomhartha, úsáideann Dridex schtasks.exe chun tasc sceidealta a chruthú. Ag baint úsáide as an bhfóntas áirithe seo ón líne ordaithe meastar gur iompar an-amhrasach é; tá cuma chomhchosúil ar sheoladh svchost.exe le paraiméadair a léiríonn fillteáin úsáideora nó paraiméadair atá cosúil leis na horduithe “net view” nó “whoami”. Seo blúire de na comhfhreagracha :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust, tá gach iompar amhrasach san áireamh in aon riail amháin, toisc nach mbaineann an chuid is mó de na gníomhartha seo go sonrach le bagairt ar leith, ach go bhfuil siad amhrasach i gcoimpléasc agus i 99% de na cásanna úsáidtear iad chun críocha nach bhfuil go hiomlán uasal. Áirítear ar an liosta gníomhartha seo, ach níl sé teoranta dóibh:
- Próisis a ritheann ó áiteanna neamhghnácha, mar fhillteáin shealadacha úsáideoirí.
- Próiseas córais-aitheanta go maith le hoidhreacht amhrasach - d'fhéadfadh roinnt bagairtí iarracht a dhéanamh ainm próisis chórais a úsáid chun fanacht gan bhrath.
- Forghníomhú amhrasach uirlisí riaracháin ar nós cmd nó PsExec nuair a úsáideann siad dintiúir an chórais áitiúil nó oidhreacht amhrasach.
- Is iompar coitianta de víris ransomware iad oibríochtaí scáthchóipe amhrasacha sula ndéantar córas a chriptiú; maraíonn siad cúltacaí:
— Trí vssadmin.exe;
- Trí WMI. - Cláraigh dumpaí de choirceoga clárlainne ar fad.
- Gluaiseacht chothrománach cód mailíseach nuair a sheoltar próiseas go cianda ag baint úsáide as orduithe mar at.exe.
- Oibríochtaí grúpa áitiúil amhrasach agus oibríochtaí fearainn ag baint úsáide as net.exe.
- Gníomhaíocht balla dóiteáin amhrasach ag baint úsáide as netsh.exe.
- Ionramháil amhrasach ar an ACL.
- BITS a úsáid le haghaidh dí-scagadh sonraí.
- Ionramhálacha amhrasacha le WMI.
- Orduithe script amhrasacha.
- Iarrachtaí comhaid chórais shlána a dhumpáil.
Oibríonn an riail chomhcheangailte go han-mhaith chun bagairtí a bhrath mar RUYK, LockerGoga agus feisteáin uirlisí ransomware, malware agus cibearchoireachta eile. Tá tástáil déanta ag an díoltóir ar an riail i dtimpeallachtaí táirgthe chun dearfacha bréagacha a íoslaghdú. Agus a bhuíochas le tionscadal SIGMA, táirgeann an chuid is mó de na táscairí seo líon íosta imeachtaí torainn.
Mar InTrust is riail mhonatóireachta é seo, is féidir leat script freagartha a fhorghníomhú mar fhreagairt ar bhagairt. Is féidir leat ceann de na scripteanna ionsuite a úsáid nó do chuid féin a chruthú agus déanfaidh InTrust é a dháileadh go huathoibríoch.
Ina theannta sin, is féidir leat gach teiliméadracht a bhaineann le himeachtaí a iniúchadh: scripteanna PowerShell, forghníomhú próisis, ionramhálacha tasc sceidealta, gníomhaíocht riaracháin WMI, agus iad a úsáid le haghaidh iarbháis le linn teagmhas slándála.
Tá na céadta rialacha eile ag InTrust, cuid acu:
- Is éard atá i gceist le hionsaí íosghrádaithe PowerShell a bhrath nuair a úsáideann duine leagan níos sine de PowerShell d'aon ghnó mar gheall ar ... sa leagan níos sine ní raibh aon bhealach chun iniúchadh a dhéanamh ar cad a bhí ag tarlú.
- Brath logála isteach ardphribhléid is ea nuair a logálann cuntais atá ina mbaill de ghrúpa áirithe faoi phribhléid (amhail riarthóirí fearainn) ar stáisiúin oibre trí thimpiste nó de bharr teagmhais slándála.
Ligeann InTrust duit dea-chleachtais slándála a úsáid i bhfoirm rialacha braite agus frithghníomhaithe réamhshainithe. Agus má cheapann tú gur chóir go n-oibreodh rud éigin ar bhealach difriúil, is féidir leat do chóip féin den riail a dhéanamh agus é a chumrú mar is gá. Is féidir leat iarratas a chur isteach chun treoirthionscadail a stiúradh nó chun feisteáin dáileacháin a fháil le ceadúnais shealadacha tríd ar ár suíomh Gréasáin.
Liostáil lenár , foilsímid nótaí gearra agus naisc suimiúla ann.
Léigh ár n-alt eile ar shlándáil faisnéise:
(alt coitianta)
Foinse: will.com