ProHoster > Blog > Rianachd > Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Is e aon de na seòrsaichean ionnsaighean as cumanta a bhith a ‘sìolachadh pròiseas droch-rùnach ann an craobh fo phròiseasan làn spèis. Is dòcha gu bheil an t-slighe chun fhaidhle so-ghnìomhaichte amharasach: bidh malware gu tric a’ cleachdadh na pasganan AppData no Temp, agus chan eil seo àbhaisteach airson prògraman dligheach. Gus a bhith cothromach, is fhiach a ràdh gu bheil cuid de ghoireasan ùrachadh fèin-ghluasadach air an cur an gnìomh ann an AppData, agus mar sin chan eil dìreach a bhith a’ sgrùdadh an àite tòiseachaidh gu leòr gus dearbhadh gu bheil am prògram droch-rùnach.

Is e feart dligheachd a bharrachd ainm sgrìobhte criptografach: tha mòran de phrògraman tùsail air an soidhnigeadh leis an neach-reic. Faodaidh tu an fhìrinn nach eil ainm-sgrìobhte ann mar dhòigh air nithean tòiseachaidh amharasach a chomharrachadh. Ach an uairsin a-rithist tha malware ann a chleachdas teisteanas a chaidh a ghoid gus a shoidhnigeadh fhèin.

Faodaidh tu cuideachd sgrùdadh a dhèanamh air luach hashes criptografach MD5 no SHA256, a dh’ fhaodadh a bhith a rèir cuid de malware a chaidh a lorg roimhe. Faodaidh tu mion-sgrùdadh statach a dhèanamh le bhith a’ coimhead air ainmean-sgrìobhte sa phrògram (a’ cleachdadh riaghailtean Yara no toraidhean antivirus). Tha mion-sgrùdadh fiùghantach ann cuideachd (a ’ruith prògram ann an àrainneachd shàbhailte agus a’ cumail sùil air na gnìomhan aige) agus innleadaireachd cùil.

Faodaidh mòran chomharran a bhith ann de phròiseas droch-rùnach. San artaigil seo innsidh sinn dhut mar as urrainn dhut sgrùdadh a dhèanamh air tachartasan buntainneach ann an Windows, nì sinn sgrùdadh air na comharran air a bheil an riaghailt togte an urra Urras gus pròiseas amharasach a chomharrachadh. Tha InTrust Àrd-ùrlar CLM airson a bhith a’ tional, a’ mion-sgrùdadh agus a’ stòradh dàta neo-structaraichte, aig a bheil ceudan de ath-bheachdan ro-mhìnichte air diofar sheòrsaichean ionnsaighean.

Nuair a thèid am prògram a chuir air bhog, thèid a luchdachadh a-steach do chuimhne a’ choimpiutair. Anns an fhaidhle so-ghnìomhaichte tha stiùireadh coimpiutair agus leabharlannan taice (mar eisimpleir, *.dll). Nuair a tha pròiseas a’ ruith mu thràth, faodaidh e snàithleanan a bharrachd a chruthachadh. Bidh snàithleanan a’ toirt cothrom do phròiseas diofar sheataichean stiùiridh a chuir an gnìomh aig an aon àm. Tha iomadh dòigh ann airson còd droch-rùnach a dhol a-steach don chuimhne agus a ruith, leig dhuinn sùil a thoirt air cuid dhiubh.

Is e an dòigh as fhasa air pròiseas droch-rùnach a chuir air bhog toirt air an neach-cleachdaidh a chuir air bhog gu dìreach (mar eisimpleir, bho cheangal post-d), agus an uairsin cleachd an iuchair RunOnce gus a chuir air bhog a h-uile uair a thèid an coimpiutair a chuir air. Tha seo cuideachd a’ toirt a-steach malware “gun fhaidhle” a bhios a’ stòradh sgriobtaichean PowerShell ann an iuchraichean clàraidh a thèid a chuir gu bàs stèidhichte air inneal-brosnachaidh. Anns a ’chùis seo, tha an sgriobt PowerShell na chòd droch-rùnach.

Is e an duilgheadas le bhith a’ ruith malware gu soilleir gur e dòigh-obrach aithnichte a th’ ann a tha furasta a lorg. Bidh cuid de malware a’ dèanamh rudan nas glice, leithid a bhith a’ cleachdadh pròiseas eile gus tòiseachadh air cur gu bàs. Mar sin, faodaidh pròiseas pròiseas eile a chruthachadh le bhith a’ ruith stiùireadh coimpiutair sònraichte agus a’ sònrachadh faidhle so-ghnìomhaichte (.exe) ri ruith.

Faodar am faidhle a shònrachadh le slighe slàn (mar eisimpleir, C: Windowssystem32cmd.exe) no slighe pàirt (mar eisimpleir, cmd.exe). Ma tha am pròiseas tùsail mì-chinnteach, leigidh e le prògraman dìolain ruith. Faodaidh ionnsaigh coimhead mar seo: bidh pròiseas a’ cur air bhog cmd.exe gun a bhith a’ sònrachadh an t-slighe iomlan, bidh an neach-ionnsaigh a’ cur a cmd.exe ann an àite gus am bi am pròiseas ga chuir air bhog ron fhear dhligheach. Cho luath ‘s a ruitheas an malware, faodaidh e an uair sin prògram dligheach a chuir air bhog (leithid C: Windowssystem32cmd.exe) gus am bi am prògram tùsail a’ leantainn air adhart ag obair mar bu chòir.

Is e atharrachadh air an ionnsaigh roimhe stealladh DLL a-steach do phròiseas dligheach. Nuair a thòisicheas pròiseas, bidh e a’ lorg agus a’ luchdachadh leabharlannan a leudaicheas a ghnìomhachd. A’ cleachdadh in-stealladh DLL, bidh neach-ionnsaigh a’ cruthachadh leabharlann droch-rùnach leis an aon ainm agus API mar fhear dligheach. Bidh am prògram a’ luchdachadh leabharlann droch-rùnach, agus bidh e an uair sin a’ luchdachadh fear dligheach, agus, mar a dh’ fheumar, ga ghairm gus gnìomhachd a dhèanamh. Bidh an leabharlann droch-rùnach a’ tòiseachadh mar neach-ionaid airson an leabharlann mhath.

Is e dòigh eile air còd droch-rùnach a chuir na chuimhne a chuir a-steach do phròiseas mì-shàbhailte a tha a’ ruith mu thràth. Bidh pròiseasan a 'faighinn a-steach bho dhiofar thùsan - a' leughadh bhon lìonra no faidhlichean. Mar as trice bidh iad a’ dèanamh seic gus dèanamh cinnteach gu bheil an cur-a-steach dligheach. Ach chan eil dìon ceart aig cuid de phròiseasan nuair a thathar a’ coileanadh stiùireadh. San ionnsaigh seo, chan eil leabharlann air diosc no faidhle so-ghnìomhaichte anns a bheil còd droch-rùnach. Tha a h-uile càil air a stòradh mar chuimhne còmhla ris a’ phròiseas a thathar a’ cleachdadh.

A-nis leig dhuinn sùil a thoirt air an dòigh-obrach airson a bhith comasach air cruinneachadh de thachartasan mar sin ann an Windows agus an riaghailt ann an InTrust a chuireas an gnìomh dìon an aghaidh bagairtean mar sin. An toiseach, leig dhuinn a chuir an gnìomh tro chonsail riaghlaidh InTrust.

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Bidh an riaghailt a’ cleachdadh comasan tracadh pròiseas Windows OS. Gu mì-fhortanach, tha e fada bho bhith a’ comasachadh cruinneachadh de thachartasan mar seo. Tha 3 roghainnean Poileasaidh Buidhne eadar-dhealaichte ann a dh’ fheumas tu atharrachadh:

Rèiteachadh coimpiutair > Poileasaidhean > Roghainnean Windows > Roghainnean tèarainteachd > Poileasaidhean Ionadail > Poileasaidh Sgrùdaidh > Sgrùdadh pròiseas sgrùdaidh

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Rèiteachadh coimpiutair > Poileasaidhean > Roghainnean Windows > Roghainnean tèarainteachd > Rèiteachadh Poileasaidh Sgrùdaidh Adhartach > Poileasaidhean Sgrùdaidh > Sgrùdadh mionaideach > Cruthachadh pròiseas sgrùdaidh

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Rèiteachadh coimpiutair> Poileasaidhean> Teamplaidean Rianachd> Siostam> Cruthachadh Pròiseas Sgrùdaidh> Cuir a-steach loidhne-àithne ann an tachartasan cruthachaidh pròiseas

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Aon uair ‘s gu bheil e air a chomasachadh, leigidh riaghailtean InTrust leat bagairtean nach robh aithnichte roimhe a lorg a tha a’ nochdadh giùlan amharasach. Mar eisimpleir, faodaidh tu aithneachadh air a mhìneachadh an seo Dridex bathar-bog. Taing don phròiseact HP Bromium, tha fios againn mar a tha am bagairt seo ag obair.

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Anns an t-sreath ghnìomhan aige, bidh Dridex a’ cleachdadh schtasks.exe gus gnìomh clàraichte a chruthachadh. Thathas den bheachd gu bheil cleachdadh a’ ghoireas sònraichte seo bhon loidhne-àithne mar ghiùlan amharasach; a’ cur air bhog svchost.exe le paramadairean a tha a’ comharrachadh pasganan luchd-cleachdaidh no le paramadairean coltach ris na h-òrdughan “net view” no “whoami” a tha coltach. Seo criomag den cho-fhreagairt Riaghailtean SIGMA:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

Ann an InTrust, tha a h-uile giùlan amharasach air a ghabhail a-steach ann an aon riaghailt, leis nach eil a’ mhòr-chuid de na gnìomhan sin sònraichte do chunnart sònraichte, ach tha iad amharasach ann an toinnte agus ann an 99% de chùisean tha iad air an cleachdadh airson adhbharan nach eil gu tur uasal. Tha an liosta ghnìomhan seo a’ toirt a-steach, ach chan eil e cuingealaichte gu:

  • Pròiseasan a’ ruith bho àiteachan neo-àbhaisteach, leithid pasganan sealach luchd-cleachdaidh.
  • Pròiseas siostam aithnichte le dìleab amharasach - faodaidh cuid de chunnartan feuchainn ri ainm pròiseasan siostam a chleachdadh gus fuireach neo-aithnichte.
  • Cur gu bàs amharasach innealan rianachd leithid cmd no PsExec nuair a bhios iad a’ cleachdadh teisteanasan siostam ionadail no oighreachd amharasach.
  • Tha gnìomhachd leth-bhreac amharasach mar ghiùlan cumanta de bhìorasan ransomware mus cuir iad crioptachadh air siostam; bidh iad a’ marbhadh cùl-taic:

    - tro vssadmin.exe;
    - Tro WMI.

  • Clàraich dumpan de bhàtaichean clàraidh gu lèir.
  • Gluasad còmhnard de chòd droch-rùnach nuair a thèid pròiseas a chuir air bhog air astar a’ cleachdadh òrdughan leithid at.exe.
  • Obrachaidhean buidhne ionadail amharasach agus gnìomhachd fearainn a’ cleachdadh net.exe.
  • Gnìomh balla-teine ​​​​amhasach a 'cleachdadh netsh.exe.
  • Làimhseachadh amharasach air an ACL.
  • A’ cleachdadh BITS airson sgaoileadh dàta.
  • Làimhseachadh amharasach le WMI.
  • Òrduighean sgriobtar amharasach.
  • Oidhirpean gus faidhlichean siostam tèarainte a dhumpadh.

Tha an riaghailt aonaichte ag obair glè mhath gus bagairtean a lorg leithid RUYK, LockerGoga agus innealan ransomware, malware agus cybercrime eile. Chaidh an riaghailt a dhearbhadh leis an neach-reic ann an àrainneachdan cinneasachaidh gus nithean ceàrr a lughdachadh. Agus le taing do phròiseact SIGMA, bidh a’ mhòr-chuid de na comharran sin a’ toirt a-mach glè bheag de thachartasan fuaim.

Air sgàth Ann an InTrust is e riaghailt sgrùdaidh a tha seo, faodaidh tu sgriobt freagairt a chuir an gnìomh mar fhreagairt do chunnart. Faodaidh tu aon de na sgriobtaichean togte a chleachdadh no do chuid fhèin a chruthachadh agus bidh InTrust ga sgaoileadh gu fèin-ghluasadach.

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

A bharrachd air an sin, faodaidh tu sgrùdadh a dhèanamh air a h-uile telemetry co-cheangailte ri tachartas: sgriobtaichean PowerShell, coileanadh pròiseas, làimhseachadh gnìomhan clàraichte, gnìomhachd rianachd WMI, agus an cleachdadh airson post-mortems aig tachartasan tèarainteachd.

Bidh sinn a’ comasachadh cruinneachadh de thachartasan mu bhith a’ cur air bhog pròiseasan amharasach ann an Windows agus a’ comharrachadh chunnartan a’ cleachdadh Quest InTrust

Tha ceudan de riaghailtean eile aig InTrust, cuid dhiubh:

  • Is e a bhith a’ lorg ionnsaigh ìsleachaidh PowerShell nuair a bhios cuideigin a’ cleachdadh dreach nas sine de PowerShell a dh’aona ghnothach air sgàth ... anns an dreach as sine cha robh dòigh ann sgrùdadh a dhèanamh air na bha a’ tachairt.
  • Is e lorg logadh a-steach àrd-sochair nuair a bhios cunntasan a tha nam buill de bhuidheann sochair sònraichte (leithid luchd-rianachd fearainn) a’ logadh a-steach gu ionadan-obrach gun fhiosta no air sgàth tachartasan tèarainteachd.

Leigidh InTrust leat na cleachdaidhean tèarainteachd as fheàrr a chleachdadh ann an cruth riaghailtean lorg agus freagairt ro-mhìnichte. Agus ma tha thu den bheachd gum bu chòir rudeigin obrachadh ann an dòigh eadar-dhealaichte, faodaidh tu do leth-bhreac fhèin den riaghailt a dhèanamh agus a rèiteachadh mar a dh ’fheumar. Faodaidh tu tagradh a chuir a-steach airson pìleat a dhèanamh no innealan cuairteachaidh fhaighinn le ceadan sealach troimhe foirm fios-air-ais air an làrach-lìn againn.

Subscribe to our duilleag Facebook, bidh sinn a 'foillseachadh notaichean goirid agus ceanglaichean inntinneach an sin.

Leugh na h-artaigilean eile againn air tèarainteachd fiosrachaidh:

Mar as urrainn do InTrust cuideachadh le bhith a’ lughdachadh ìre oidhirpean ceadachaidh air fàiligeadh tro RDP

Lorgaidh sinn ionnsaigh ransomware, gheibh sinn cothrom air rianadair an fhearainn agus feuchaidh sinn ri cur an aghaidh nan ionnsaighean sin

Dè na rudan feumail a ghabhas toirt a-mach à logaichean ionad-obrach stèidhichte air Windows? (artaigil mòr-chòrdte)

A’ cumail sùil air cearcall-beatha luchd-cleachdaidh às aonais cuilbhearan no teip duct

Cò rinn e? Bidh sinn a’ dèanamh fèin-ghluasad air sgrùdaidhean tèarainteachd fiosrachaidh

Mar a lughdaicheas tu cosgais seilbh siostam SIEM agus carson a tha feum agad air Central Log Management (CLM)

Source: www.habr.com

Cuir beachd ann