Is e aon de na seòrsaichean ionnsaighean as cumanta a bhith a ‘sìolachadh pròiseas droch-rùnach ann an craobh fo phròiseasan làn spèis. Is dòcha gu bheil an t-slighe chun fhaidhle so-ghnìomhaichte amharasach: bidh malware gu tric a’ cleachdadh na pasganan AppData no Temp, agus chan eil seo àbhaisteach airson prògraman dligheach. Gus a bhith cothromach, is fhiach a ràdh gu bheil cuid de ghoireasan ùrachadh fèin-ghluasadach air an cur an gnìomh ann an AppData, agus mar sin chan eil dìreach a bhith a’ sgrùdadh an àite tòiseachaidh gu leòr gus dearbhadh gu bheil am prògram droch-rùnach.
Is e feart dligheachd a bharrachd ainm sgrìobhte criptografach: tha mòran de phrògraman tùsail air an soidhnigeadh leis an neach-reic. Faodaidh tu an fhìrinn nach eil ainm-sgrìobhte ann mar dhòigh air nithean tòiseachaidh amharasach a chomharrachadh. Ach an uairsin a-rithist tha malware ann a chleachdas teisteanas a chaidh a ghoid gus a shoidhnigeadh fhèin.
Faodaidh tu cuideachd sgrùdadh a dhèanamh air luach hashes criptografach MD5 no SHA256, a dh’ fhaodadh a bhith a rèir cuid de malware a chaidh a lorg roimhe. Faodaidh tu mion-sgrùdadh statach a dhèanamh le bhith a’ coimhead air ainmean-sgrìobhte sa phrògram (a’ cleachdadh riaghailtean Yara no toraidhean antivirus). Tha mion-sgrùdadh fiùghantach ann cuideachd (a ’ruith prògram ann an àrainneachd shàbhailte agus a’ cumail sùil air na gnìomhan aige) agus innleadaireachd cùil.
Faodaidh mòran chomharran a bhith ann de phròiseas droch-rùnach. San artaigil seo innsidh sinn dhut mar as urrainn dhut sgrùdadh a dhèanamh air tachartasan buntainneach ann an Windows, nì sinn sgrùdadh air na comharran air a bheil an riaghailt togte an urra
Nuair a thèid am prògram a chuir air bhog, thèid a luchdachadh a-steach do chuimhne a’ choimpiutair. Anns an fhaidhle so-ghnìomhaichte tha stiùireadh coimpiutair agus leabharlannan taice (mar eisimpleir, *.dll). Nuair a tha pròiseas a’ ruith mu thràth, faodaidh e snàithleanan a bharrachd a chruthachadh. Bidh snàithleanan a’ toirt cothrom do phròiseas diofar sheataichean stiùiridh a chuir an gnìomh aig an aon àm. Tha iomadh dòigh ann airson còd droch-rùnach a dhol a-steach don chuimhne agus a ruith, leig dhuinn sùil a thoirt air cuid dhiubh.
Is e an dòigh as fhasa air pròiseas droch-rùnach a chuir air bhog toirt air an neach-cleachdaidh a chuir air bhog gu dìreach (mar eisimpleir, bho cheangal post-d), agus an uairsin cleachd an iuchair RunOnce gus a chuir air bhog a h-uile uair a thèid an coimpiutair a chuir air. Tha seo cuideachd a’ toirt a-steach malware “gun fhaidhle” a bhios a’ stòradh sgriobtaichean PowerShell ann an iuchraichean clàraidh a thèid a chuir gu bàs stèidhichte air inneal-brosnachaidh. Anns a ’chùis seo, tha an sgriobt PowerShell na chòd droch-rùnach.
Is e an duilgheadas le bhith a’ ruith malware gu soilleir gur e dòigh-obrach aithnichte a th’ ann a tha furasta a lorg. Bidh cuid de malware a’ dèanamh rudan nas glice, leithid a bhith a’ cleachdadh pròiseas eile gus tòiseachadh air cur gu bàs. Mar sin, faodaidh pròiseas pròiseas eile a chruthachadh le bhith a’ ruith stiùireadh coimpiutair sònraichte agus a’ sònrachadh faidhle so-ghnìomhaichte (.exe) ri ruith.
Faodar am faidhle a shònrachadh le slighe slàn (mar eisimpleir, C: Windowssystem32cmd.exe) no slighe pàirt (mar eisimpleir, cmd.exe). Ma tha am pròiseas tùsail mì-chinnteach, leigidh e le prògraman dìolain ruith. Faodaidh ionnsaigh coimhead mar seo: bidh pròiseas a’ cur air bhog cmd.exe gun a bhith a’ sònrachadh an t-slighe iomlan, bidh an neach-ionnsaigh a’ cur a cmd.exe ann an àite gus am bi am pròiseas ga chuir air bhog ron fhear dhligheach. Cho luath ‘s a ruitheas an malware, faodaidh e an uair sin prògram dligheach a chuir air bhog (leithid C: Windowssystem32cmd.exe) gus am bi am prògram tùsail a’ leantainn air adhart ag obair mar bu chòir.
Is e atharrachadh air an ionnsaigh roimhe stealladh DLL a-steach do phròiseas dligheach. Nuair a thòisicheas pròiseas, bidh e a’ lorg agus a’ luchdachadh leabharlannan a leudaicheas a ghnìomhachd. A’ cleachdadh in-stealladh DLL, bidh neach-ionnsaigh a’ cruthachadh leabharlann droch-rùnach leis an aon ainm agus API mar fhear dligheach. Bidh am prògram a’ luchdachadh leabharlann droch-rùnach, agus bidh e an uair sin a’ luchdachadh fear dligheach, agus, mar a dh’ fheumar, ga ghairm gus gnìomhachd a dhèanamh. Bidh an leabharlann droch-rùnach a’ tòiseachadh mar neach-ionaid airson an leabharlann mhath.
Is e dòigh eile air còd droch-rùnach a chuir na chuimhne a chuir a-steach do phròiseas mì-shàbhailte a tha a’ ruith mu thràth. Bidh pròiseasan a 'faighinn a-steach bho dhiofar thùsan - a' leughadh bhon lìonra no faidhlichean. Mar as trice bidh iad a’ dèanamh seic gus dèanamh cinnteach gu bheil an cur-a-steach dligheach. Ach chan eil dìon ceart aig cuid de phròiseasan nuair a thathar a’ coileanadh stiùireadh. San ionnsaigh seo, chan eil leabharlann air diosc no faidhle so-ghnìomhaichte anns a bheil còd droch-rùnach. Tha a h-uile càil air a stòradh mar chuimhne còmhla ris a’ phròiseas a thathar a’ cleachdadh.
A-nis leig dhuinn sùil a thoirt air an dòigh-obrach airson a bhith comasach air cruinneachadh de thachartasan mar sin ann an Windows agus an riaghailt ann an InTrust a chuireas an gnìomh dìon an aghaidh bagairtean mar sin. An toiseach, leig dhuinn a chuir an gnìomh tro chonsail riaghlaidh InTrust.
Bidh an riaghailt a’ cleachdadh comasan tracadh pròiseas Windows OS. Gu mì-fhortanach, tha e fada bho bhith a’ comasachadh cruinneachadh de thachartasan mar seo. Tha 3 roghainnean Poileasaidh Buidhne eadar-dhealaichte ann a dh’ fheumas tu atharrachadh:
Rèiteachadh coimpiutair > Poileasaidhean > Roghainnean Windows > Roghainnean tèarainteachd > Poileasaidhean Ionadail > Poileasaidh Sgrùdaidh > Sgrùdadh pròiseas sgrùdaidh
Rèiteachadh coimpiutair > Poileasaidhean > Roghainnean Windows > Roghainnean tèarainteachd > Rèiteachadh Poileasaidh Sgrùdaidh Adhartach > Poileasaidhean Sgrùdaidh > Sgrùdadh mionaideach > Cruthachadh pròiseas sgrùdaidh
Rèiteachadh coimpiutair> Poileasaidhean> Teamplaidean Rianachd> Siostam> Cruthachadh Pròiseas Sgrùdaidh> Cuir a-steach loidhne-àithne ann an tachartasan cruthachaidh pròiseas
Aon uair ‘s gu bheil e air a chomasachadh, leigidh riaghailtean InTrust leat bagairtean nach robh aithnichte roimhe a lorg a tha a’ nochdadh giùlan amharasach. Mar eisimpleir, faodaidh tu aithneachadh
Anns an t-sreath ghnìomhan aige, bidh Dridex a’ cleachdadh schtasks.exe gus gnìomh clàraichte a chruthachadh. Thathas den bheachd gu bheil cleachdadh a’ ghoireas sònraichte seo bhon loidhne-àithne mar ghiùlan amharasach; a’ cur air bhog svchost.exe le paramadairean a tha a’ comharrachadh pasganan luchd-cleachdaidh no le paramadairean coltach ris na h-òrdughan “net view” no “whoami” a tha coltach. Seo criomag den cho-fhreagairt
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
Ann an InTrust, tha a h-uile giùlan amharasach air a ghabhail a-steach ann an aon riaghailt, leis nach eil a’ mhòr-chuid de na gnìomhan sin sònraichte do chunnart sònraichte, ach tha iad amharasach ann an toinnte agus ann an 99% de chùisean tha iad air an cleachdadh airson adhbharan nach eil gu tur uasal. Tha an liosta ghnìomhan seo a’ toirt a-steach, ach chan eil e cuingealaichte gu:
- Pròiseasan a’ ruith bho àiteachan neo-àbhaisteach, leithid pasganan sealach luchd-cleachdaidh.
- Pròiseas siostam aithnichte le dìleab amharasach - faodaidh cuid de chunnartan feuchainn ri ainm pròiseasan siostam a chleachdadh gus fuireach neo-aithnichte.
- Cur gu bàs amharasach innealan rianachd leithid cmd no PsExec nuair a bhios iad a’ cleachdadh teisteanasan siostam ionadail no oighreachd amharasach.
- Tha gnìomhachd leth-bhreac amharasach mar ghiùlan cumanta de bhìorasan ransomware mus cuir iad crioptachadh air siostam; bidh iad a’ marbhadh cùl-taic:
- tro vssadmin.exe;
- Tro WMI. - Clàraich dumpan de bhàtaichean clàraidh gu lèir.
- Gluasad còmhnard de chòd droch-rùnach nuair a thèid pròiseas a chuir air bhog air astar a’ cleachdadh òrdughan leithid at.exe.
- Obrachaidhean buidhne ionadail amharasach agus gnìomhachd fearainn a’ cleachdadh net.exe.
- Gnìomh balla-teine amhasach a 'cleachdadh netsh.exe.
- Làimhseachadh amharasach air an ACL.
- A’ cleachdadh BITS airson sgaoileadh dàta.
- Làimhseachadh amharasach le WMI.
- Òrduighean sgriobtar amharasach.
- Oidhirpean gus faidhlichean siostam tèarainte a dhumpadh.
Tha an riaghailt aonaichte ag obair glè mhath gus bagairtean a lorg leithid RUYK, LockerGoga agus innealan ransomware, malware agus cybercrime eile. Chaidh an riaghailt a dhearbhadh leis an neach-reic ann an àrainneachdan cinneasachaidh gus nithean ceàrr a lughdachadh. Agus le taing do phròiseact SIGMA, bidh a’ mhòr-chuid de na comharran sin a’ toirt a-mach glè bheag de thachartasan fuaim.
Air sgàth Ann an InTrust is e riaghailt sgrùdaidh a tha seo, faodaidh tu sgriobt freagairt a chuir an gnìomh mar fhreagairt do chunnart. Faodaidh tu aon de na sgriobtaichean togte a chleachdadh no do chuid fhèin a chruthachadh agus bidh InTrust ga sgaoileadh gu fèin-ghluasadach.
A bharrachd air an sin, faodaidh tu sgrùdadh a dhèanamh air a h-uile telemetry co-cheangailte ri tachartas: sgriobtaichean PowerShell, coileanadh pròiseas, làimhseachadh gnìomhan clàraichte, gnìomhachd rianachd WMI, agus an cleachdadh airson post-mortems aig tachartasan tèarainteachd.
Tha ceudan de riaghailtean eile aig InTrust, cuid dhiubh:
- Is e a bhith a’ lorg ionnsaigh ìsleachaidh PowerShell nuair a bhios cuideigin a’ cleachdadh dreach nas sine de PowerShell a dh’aona ghnothach air sgàth ... anns an dreach as sine cha robh dòigh ann sgrùdadh a dhèanamh air na bha a’ tachairt.
- Is e lorg logadh a-steach àrd-sochair nuair a bhios cunntasan a tha nam buill de bhuidheann sochair sònraichte (leithid luchd-rianachd fearainn) a’ logadh a-steach gu ionadan-obrach gun fhiosta no air sgàth tachartasan tèarainteachd.
Leigidh InTrust leat na cleachdaidhean tèarainteachd as fheàrr a chleachdadh ann an cruth riaghailtean lorg agus freagairt ro-mhìnichte. Agus ma tha thu den bheachd gum bu chòir rudeigin obrachadh ann an dòigh eadar-dhealaichte, faodaidh tu do leth-bhreac fhèin den riaghailt a dhèanamh agus a rèiteachadh mar a dh ’fheumar. Faodaidh tu tagradh a chuir a-steach airson pìleat a dhèanamh no innealan cuairteachaidh fhaighinn le ceadan sealach troimhe
Subscribe to our
Leugh na h-artaigilean eile againn air tèarainteachd fiosrachaidh:
Source: www.habr.com