Ɗaya daga cikin nau'ikan hare-haren da aka fi sani shine zubar da mugun aiki a cikin bishiya a ƙarƙashin matakai masu daraja. Hanyar zuwa fayil ɗin da za a iya aiwatarwa na iya zama abin shakku: malware sau da yawa yana amfani da manyan fayilolin AppData ko Temp, kuma wannan ba al'ada bane ga shirye-shirye na halal. Don yin gaskiya, yana da kyau a faɗi cewa ana aiwatar da wasu abubuwan sabuntawa ta atomatik a cikin AppData, don haka bincika wurin ƙaddamarwa bai isa ba don tabbatar da cewa shirin yana da mugunta.
Ƙarin abin da ya dace na haƙƙin sa hannu ne na sirri: yawancin shirye-shirye na asali suna da sa hannun mai siyarwa. Kuna iya amfani da gaskiyar cewa babu sa hannu a matsayin hanya don gano abubuwan farawa masu shakka. Amma kuma akwai malware da ke amfani da satifiket ɗin sata don sa hannu a kanta.
Hakanan zaka iya bincika ƙimar MD5 ko SHA256 hashes cryptographic, wanda zai iya dacewa da wasu malware da aka gano a baya. Kuna iya yin nazari a tsaye ta hanyar kallon sa hannu a cikin shirin (ta amfani da dokokin Yara ko samfuran riga-kafi). Hakanan akwai bincike mai ƙarfi (gudanar da shirin a cikin wani yanayi mai aminci da lura da ayyukansa) da jujjuya aikin injiniya.
Ana iya samun alamun da yawa na tsari mara kyau. A cikin wannan labarin za mu gaya muku yadda ake ba da damar duba abubuwan da suka dace a cikin Windows, za mu bincika alamun da ginin ginin ya dogara da shi. don gano wani tsari na tuhuma. InTrust shine don tattarawa, yin nazari da adana bayanan da ba a tsara su ba, waɗanda tuni suna da ɗaruruwan abubuwan da aka ƙayyade ga nau'ikan hare-hare daban-daban.
Lokacin da aka ƙaddamar da shirin, ana loda shi cikin ƙwaƙwalwar ajiyar kwamfutar. Fayil ɗin da za a iya aiwatarwa ya ƙunshi umarnin kwamfuta da ɗakunan karatu masu tallafawa (misali, * .dll). Lokacin da tsari ya riga ya gudana, zai iya ƙirƙirar ƙarin zaren. Zaren yana ba da damar tsari don aiwatar da umarni daban-daban a lokaci guda. Akwai hanyoyi da yawa don malicious code don shiga ƙwaƙwalwar ajiya da gudu, bari mu dubi wasu daga cikinsu.
Hanya mafi sauƙi don ƙaddamar da mummunan tsari ita ce tilasta mai amfani ya ƙaddamar da shi kai tsaye (misali, daga abin da aka makala ta imel), sannan amfani da maɓallin RunOnce don ƙaddamar da shi a duk lokacin da kwamfutar ta kunna. Wannan kuma ya haɗa da malware "marasa fayil" wanda ke adana rubutun PowerShell a cikin maɓallan rajista waɗanda aka aiwatar bisa tushen faɗakarwa. A wannan yanayin, rubutun PowerShell lambar mugunta ce.
Matsalolin da ke tattare da gudanar da malware a bayyane shine cewa sanannen hanya ce da ake iya ganowa cikin sauƙi. Wasu malware suna yin abubuwa masu wayo, kamar yin amfani da wani tsari don fara aiwatarwa a ƙwaƙwalwar ajiya. Don haka, tsari na iya ƙirƙirar wani tsari ta hanyar gudanar da takamaiman umarnin kwamfuta da ƙayyade fayil mai aiwatarwa (.exe) don aiki.
Ana iya ayyana fayil ɗin ta amfani da cikakkiyar hanya (misali, C: Windowssystem32cmd.exe) ko hanyar ɓarna (misali, cmd.exe). Idan tsarin asali ba shi da tsaro, zai ba da damar shirye-shiryen da ba su da doka su yi aiki. Harin na iya kamawa kamar haka: tsari yana ƙaddamar da cmd.exe ba tare da fayyace cikakken hanyar ba, maharin ya sanya cmd.exe nasa a wuri ta yadda tsarin zai ƙaddamar da shi a gaban halal. Da zarar malware ya gudana, zai iya ƙaddamar da ingantaccen shirin (kamar C:Windowssystem32cmd.exe) ta yadda ainihin shirin ya ci gaba da aiki yadda ya kamata.
Bambancin harin da ya gabata shine allurar DLL cikin ingantaccen tsari. Lokacin da tsari ya fara, ya nemo kuma ya loda ɗakunan karatu waɗanda ke fadada aikinsa. Yin amfani da alluran DLL, maharin yana ƙirƙirar ɗakin karatu mara kyau tare da suna iri ɗaya da API azaman halaltacce. Shirin yana ɗora wa ɗakin karatu mara kyau, kuma, bi da bi, yana ɗaukar halal, kuma, kamar yadda ya cancanta, ya kira shi don aiwatar da ayyuka. Laburaren ƙeta ya fara aiki azaman wakili don kyakkyawan ɗakin karatu.
Wata hanya don saka lambar ɓarna a cikin ƙwaƙwalwar ajiya ita ce saka ta cikin tsari mara aminci wanda ke gudana. Tsari yana karɓar shigarwa daga tushe daban-daban - karantawa daga hanyar sadarwa ko fayiloli. Yawancin lokaci suna yin rajistan shiga don tabbatar da cewa shigar da halal ne. Amma wasu matakai ba su da ingantaccen kariya yayin aiwatar da umarni. A cikin irin wannan harin, babu ɗakin karatu akan faifai ko fayil ɗin da za'a iya aiwatarwa mai ɗauke da lambar ɓarna. Ana adana duk abin da ke cikin ƙwaƙwalwar ajiya tare da tsarin da ake amfani da shi.
Yanzu bari mu dubi hanyoyin da za a ba da damar tattara irin waɗannan abubuwan a cikin Windows da ka'idar InTrust da ke aiwatar da kariya daga irin wannan barazanar. Da farko, bari mu kunna ta ta InTrust console console.
Dokar tana amfani da ikon bin diddigin tsari na Windows OS. Abin takaici, ba da damar tarin irin waɗannan abubuwan ba a bayyane yake ba. Akwai saitunan Manufofin Ƙungiya daban-daban guda 3 da kuke buƙatar canza:
Kanfigareshan Kwamfuta> Manufofi> Saitunan Windows> Saitunan Tsaro> Manufofin gida> Manufofin dubawa> bin diddigin tsarin tantancewa
Kanfigareshan Kwamfuta> Manufofi> Saitunan Windows> Saitunan Tsaro> Babban Kanfigareshan Manufofin Audit> Manufofin dubawa> Cikakkun Biyu> Ƙirƙirar tsari na tantancewa
Kanfigareshan Kwamfuta> Manufofi> Samfuran Gudanarwa> Tsarin> Ƙirƙirar Tsarin Audit> Haɗa layin umarni a cikin abubuwan ƙirƙirar tsari
Da zarar an kunna, Dokokin InTrust suna ba ku damar gano barazanar da ba a sani ba a baya waɗanda ke nuna halayen tuhuma. Misali, zaku iya ganowa Dridex malware. Godiya ga aikin HP Bromium, mun san yadda wannan barazanar ke aiki.
A cikin jerin ayyukan sa, Dridex yana amfani da schtasks.exe don ƙirƙirar aikin da aka tsara. Yin amfani da wannan ƙayyadaddun kayan aiki daga layin umarni ana ɗaukar halayen shakku sosai; ƙaddamar da svchost.exe tare da sigogi waɗanda ke nuna manyan fayilolin mai amfani ko tare da sigogi kama da umarnin “netview” ko “whoami” umarni yayi kama. Ga guntun abubuwan da suka dace :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themA cikin InTrust, duk halayen da ake tuhuma suna cikin ƙa'ida ɗaya, saboda yawancin waɗannan ayyukan ba su da takamaiman takamaiman barazanar ba, amma suna da shakku a cikin hadaddun kuma a cikin 99% na lokuta ana amfani da su ba gabaɗayan dalilai masu daraja ba. Wannan jerin ayyuka sun haɗa da, amma ba'a iyakance ga:
- Tsare-tsare da ke gudana daga wuraren da ba a saba gani ba, kamar manyan fayiloli na ɗan lokaci mai amfani.
- Sanannen tsarin tsarin tare da gadon da ake tuhuma - wasu barazanar na iya ƙoƙarin amfani da sunan tsarin tsarin don ci gaba da kasancewa ba a gano su ba.
- Hukunce-hukuncen kisa na kayan aikin gudanarwa kamar cmd ko PsExec lokacin da suke amfani da takaddun shaidar tsarin gida ko gadon da ake tuhuma.
- Ayyukan kwafin inuwa da ake tuhuma sune halayen gama gari na ƙwayoyin cuta na ransomware kafin rufaffen tsarin; suna kashe abubuwan ajiya:
- Ta hanyar vssadmin.exe;
- Ta hanyar WMI. - Yi rijistar juji na duka amya na rajista.
- Motsi na tsaye na lambar ɓarna lokacin da aka ƙaddamar da tsari daga nesa ta amfani da umarni kamar at.exe.
- Ayyukan ƙungiyoyin gida da ake zargi da ayyukan yanki ta amfani da net.exe.
- Ayyukan Tacewar zaɓi masu tuhuma ta amfani da netsh.exe.
- Abubuwan da ake tuhuma na ACL.
- Amfani da BITS don fitar da bayanai.
- Maguɗin da ake tuhuma tare da WMI.
- Umurnin rubutun da ake tuhuma.
- Ƙoƙarin zubar da amintattun fayilolin tsarin.
Haɗin tsarin yana aiki sosai don gano barazanar kamar RUYK, LockerGoga da sauran kayan fansa, malware da kayan aikin cybercrime. Dillali ya gwada ƙa'idar a cikin yanayin samarwa don rage ƙimar ƙarya. Kuma godiya ga aikin SIGMA, yawancin waɗannan alamun suna haifar da ƙananan adadin abubuwan da suka faru.
Domin A cikin InTrust wannan dokar sa ido ce, zaku iya aiwatar da rubutun martani azaman martani ga barazana. Kuna iya amfani da ɗaya daga cikin rubutun da aka gina ko ƙirƙirar naku kuma InTrust za ta rarraba ta atomatik.
Bugu da kari, zaku iya bincika duk telemetry masu alaƙa da taron: Rubutun PowerShell, aiwatar da aiwatarwa, shirye-shiryen magudin ɗawainiya, ayyukan gudanarwa na WMI, da amfani da su don mutuwar mutuwa yayin abubuwan tsaro.
InTrust yana da ɗaruruwan wasu dokoki, wasu daga cikinsu:
- Gano harin rage girman PowerShell shine lokacin da wani yayi amfani da tsohuwar sigar PowerShell da gangan saboda... a cikin tsohon sigar babu yadda za a yi duba abin da ke faruwa.
- Gano babban gata tambarin shine lokacin da asusun da ke memba na wata ƙungiya ce mai gata (kamar masu gudanar da yanki) su shiga wuraren aiki ta hanyar haɗari ko saboda abubuwan tsaro.
InTrust yana ba ku damar amfani da mafi kyawun ayyukan tsaro ta hanyar gano ƙayyadaddun ƙayyadaddun ƙa'idojin amsawa. Kuma idan kuna tunanin cewa wani abu ya kamata ya yi aiki daban, za ku iya yin kwafin ka'idar kuma saita shi kamar yadda ake buƙata. Kuna iya ƙaddamar da aikace-aikacen don gudanar da matukin jirgi ko samun kayan rarrabawa tare da lasisin wucin gadi ta hanyar akan shafin yanar gizon mu.
Kuyi subscribing din mu , Muna buga gajerun bayanai da hanyoyin haɗi masu ban sha'awa a can.
Karanta sauran labaran mu kan tsaron bayanai:
(Shahararren labari)
source: www.habr.com