ʻO kekahi o nā ʻano maʻamau o ka hoʻouka ʻana, ʻo ia ka spawning o kahi kaʻina hana ʻino i loko o kahi lāʻau ma lalo o nā kaʻina hana hanohano. He kānalua paha ke ala i ka faile hiki ke hoʻokō: hoʻohana pinepine ka malware i nā waihona AppData a i ʻole Temp, a ʻaʻole maʻamau kēia no nā papahana kūpono. No ka pololei, pono e ʻōlelo ʻia ua hoʻokō ʻia kekahi mau pono hana hou i AppData, no laila ʻaʻole lawa ka nānā ʻana i ka wahi hoʻomaka e hōʻoia i ka hewa o ka papahana.
ʻO kahi mea ʻē aʻe o ka legitimacy he inoa cryptographic: nui nā papahana kumu i kau inoa ʻia e ka mea kūʻai aku. Hiki iā ʻoe ke hoʻohana i ka ʻoiaʻiʻo ʻaʻohe pūlima ma ke ʻano he ala no ka ʻike ʻana i nā mea hoʻomaka kānalua. Eia hou kekahi malware e hoʻohana ana i kahi palapala ʻaihue e kau inoa iā ia iho.
Hiki iā ʻoe ke nānā i ke kumukūʻai o MD5 a i ʻole SHA256 cryptographic hashes, e pili ana i kekahi malware i ʻike mua ʻia. Hiki iā ʻoe ke hana i ka loiloi static ma ka nānā ʻana i nā pūlima ma ka papahana (e hoʻohana ana i nā lula Yara a i ʻole nā huahana antivirus). Aia pū kekahi loiloi ikaika (e holo ana i kahi papahana ma kekahi wahi palekana a me ka nānā ʻana i kāna mau hana) a me ka ʻenehana hoʻohuli.
Hiki i nā hōʻailona he nui o kahi kaʻina hana ʻino. Ma kēia ʻatikala e haʻi mākou iā ʻoe pehea e hiki ai i ka loiloi o nā hanana kūpono ma Windows, e nānā mākou i nā hōʻailona i hilinaʻi ʻia ka lula i kūkulu ʻia. e ʻike i kahi kaʻina hana kānalua. ʻO InTrust no ka hōʻiliʻili ʻana, ka nānā ʻana a me ka mālama ʻana i nā ʻikepili i kūkulu ʻole ʻia, i loaʻa i nā haneli o nā hopena i koho mua ʻia i nā ʻano hoʻouka kaua.
Ke hoʻomaka ʻia ka polokalamu, hoʻouka ʻia i loko o ka hoʻomanaʻo o ke kamepiula. Aia ka waihona hoʻokō i nā ʻōlelo aʻoaʻo kamepiula a me nā hale waihona puke kākoʻo (no ka laʻana, *.dll). Ke holo nei kahi kaʻina hana, hiki iā ia ke hana i nā pae ʻē aʻe. Hiki i nā milo ke ka'ina hana e ho'okō i nā pū'ulu kuhikuhi like 'ole i ka manawa like. Nui nā ala no ke code malicious e komo i ka hoʻomanaʻo a holo, e nānā kākou i kekahi o lākou.
ʻO ke ala maʻalahi loa e hoʻomaka ai i kahi kaʻina hana ʻino, ʻo ia ke koi ʻana i ka mea hoʻohana e hoʻomaka pololei (no ka laʻana, mai kahi leka uila), a laila e hoʻohana i ke kī RunOnce no ka hoʻomaka ʻana i kēlā me kēia manawa e hoʻā ai ke kamepiula. Hoʻopili pū ʻia kēia me nā polokalamu "fileless" e mālama ana i nā palapala PowerShell i nā kī hoʻopaʻa inoa i hoʻokō ʻia ma muli o kahi hoʻoiho. I kēia hihia, ʻo ka palapala PowerShell he code hewa.
ʻO ka pilikia me ka holo pono ʻana i ka malware ʻo ia kahi ala i ʻike ʻia e ʻike maʻalahi. Hana kekahi mau polokalamu polokalamu i nā mea akamai, e like me ka hoʻohana ʻana i kahi kaʻina hana ʻē aʻe e hoʻomaka ai e hoʻokō i ka hoʻomanaʻo. No laila, hiki i kahi kaʻina hana ke hana i kahi kaʻina hana ʻē aʻe ma o ka holo ʻana i kahi ʻōlelo aʻo kamepiula kikoʻī a kuhikuhi i kahi faila hiki ke hoʻokō (.exe) e holo.
Hiki ke kuhikuhi ʻia ka faila me ka hoʻohana ʻana i kahi ala piha (no ka laʻana, C:Windowssystem32cmd.exe) a i ʻole kahi ala ʻāpana (e laʻa, cmd.exe). Inā ʻaʻole palekana ke kaʻina hana mua, e ʻae ia e holo nā polokalamu pono ʻole. Hiki i kahi hoʻouka ke nānā aku penei: hoʻomaka ke kaʻina hana cmd.exe me ka ʻole o ka wehewehe ʻana i ke ala piha, kau ka mea hoʻouka i kāna cmd.exe i kahi i hoʻomaka ai ke kaʻina hana ma mua o ka mea kūpono. Ke holo ka polokalamu kiloʻino, hiki iā ia ke hoʻomaka i kahi polokalamu kūpono (e like me C:Windowssystem32cmd.exe) i hoʻomau ka hana pono o ka polokalamu kumu.
ʻO kahi hoʻololi o ka hoʻouka mua ʻana ʻo DLL injection i kahi kaʻina kūpono. Ke hoʻomaka kahi kaʻina hana, loaʻa a hoʻouka i nā hale waihona puke e hoʻonui i kāna hana. Ke hoʻohana nei i ka DLL injection, hana ka mea hoʻouka i kahi waihona ʻino me ka inoa like a me ka API ma ke ʻano he mea kūpono. Hoʻouka ka papahana i kahi waihona malicious, a ʻo ia hoʻi, hoʻouka i kahi kūpono, a, e like me ka mea e pono ai, kāhea iā ia e hana i nā hana. Hoʻomaka ka hale waihona ʻino e hana ma ke ʻano he koho no ka hale waihona puke maikaʻi.
ʻO kahi ala ʻē aʻe e hoʻokomo ai i ka code malicious i loko o ka hoʻomanaʻo, ʻo ia ka hoʻokomo ʻana i loko o kahi kaʻina hana palekana e holo nei. Loaʻa nā kaʻina hana i ka hoʻokomo mai nā kumu like ʻole - heluhelu mai ka pūnaewele a i ʻole nā faila. Hana pinepine lākou i kahi hōʻoia e hōʻoia i ke kūpono o ka hoʻokomo. Akā ʻaʻole loaʻa ka pale kūpono i kekahi mau kaʻina i ka wā e hoʻokō ai i nā kuhikuhi. I kēia hoʻouka ʻana, ʻaʻohe waihona ma ka disk a i ʻole ka faila hoʻokō i loaʻa nā code malicious. Mālama ʻia nā mea a pau i ka hoʻomanaʻo me ke kaʻina hana i hoʻohana ʻia.
I kēia manawa, e nānā kākou i ke ʻano hana e hiki ai i ka hōʻiliʻili ʻana o ia mau hanana ma Windows a me ke kānāwai ma InTrust e hoʻokō nei i ka pale mai ia mau mea hoʻoweliweli. ʻO ka mea mua, e hoʻāla iā ia ma o ka console hoʻokele InTrust.
Hoʻohana ka lula i ka hiki ke nānā i ke kaʻina hana o Windows OS. ʻO ka mea pōʻino, ʻaʻole maopopo loa ka ʻae ʻana i ka hōʻiliʻili ʻana o ia mau hanana. Aia he 3 mau hoʻonohonoho kulekele hui e pono ai ʻoe e hoʻololi:
ʻO ka hoʻonohonoho kamepiula > nā kulekele > nā ʻōnaehana Windows > nā hoʻonohonoho palekana > nā kulekele kūloko > kulekele hoʻoponopono > ka nānā ʻana i ke kaʻina hana loiloi
Hoʻonohonoho kamepiula > Nā Kulekele > Nā ʻōkuhi Windows > Nā hoʻonohonoho palekana > Ka hoʻonohonoho ʻana i nā kulekele hoʻoponopono kiʻekiʻe > Nā Kulekele Hoʻopono > Nānā kikoʻī > ka hana ʻana i ke kaʻina loiloi.
Hoʻonohonoho kamepiula > Nā Kulekele > Nā Manaʻo Hoʻoponopono > Pūnaehana > Hana Hana Hoʻoponopono > Hoʻokomo i ka laina kauoha i nā hanana hana hana.
Ke hoʻohana ʻia, ʻae nā lula InTrust iā ʻoe e ʻike i nā mea hoʻoweliweli i ʻike ʻole ʻia e hōʻike ana i ke ʻano kānalua. No ka laʻana, hiki iā ʻoe ke ʻike ʻO Dridex malware. Mahalo i ka papahana HP Bromium, ʻike mākou i ka hana ʻana o kēia hoʻoweliweli.
Ma kāna kaulahao o nā hana, hoʻohana ʻo Dridex i ka schtasks.exe e hana i kahi hana i hoʻonohonoho ʻia. ʻO ka hoʻohana ʻana i kēia pono pono mai ka laina kauoha i manaʻo ʻia he ʻano kānalua loa; ʻo ka hoʻokuʻu ʻana i ka svchost.exe me nā ʻāpana e kuhikuhi ana i nā waihona mea hoʻohana a i ʻole me nā ʻāpana like me ka "net view" a i ʻole "whoami" nā kauoha. Eia kahi ʻāpana o ka mea pili :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themI loko o InTrust, ua hoʻokomo ʻia nā ʻano kānalua a pau i loko o ka lula hoʻokahi, no ka mea, ʻaʻole kikoʻī ka hapa nui o kēia mau hana i kahi hoʻoweliweli, akā he mea kānalua i loko o kahi paʻakikī a ma 99% o nā hihia i hoʻohana ʻia no nā kumu hanohano ʻole. Aia kēia papa inoa o nā hana, akā ʻaʻole i kaupalena ʻia i:
- Ke holo nei nā kaʻina hana mai nā wahi maʻamau, e like me nā waihona no ka wā hoʻohana.
- ʻO ke kaʻina hana ʻōnaehana kaulana me ka hoʻoilina kānalua - e hoʻāʻo paha kekahi mau mea hoʻoweliweli e hoʻohana i ka inoa o nā kaʻina hana i ʻike ʻole ʻia.
- ʻO ka hoʻokō ʻia ʻana o nā mea hana hoʻomalu e like me cmd a i ʻole PsExec ke hoʻohana lākou i nā hōʻoia ʻōnaehana kūloko a i ʻole ka hoʻoilina kānalua.
- He ʻano maʻamau ka hana kope ʻana o ka ransomware ma mua o ka hoʻopili ʻana i kahi ʻōnaehana; pepehi lākou i nā backup:
— Via vssadmin.exe;
- Ma o WMI. - E hoʻopaʻa inoa i nā waihona hoʻopaʻa inoa holoʻokoʻa.
- ʻO ka neʻe ʻana o nā code malicious i ka wā e hoʻomaka ʻia ai kahi kaʻina hana me ka hoʻohana ʻana i nā kauoha e like me at.exe.
- ʻO nā hana pūʻulu kūloko a me nā hana kikowaena me ka hoʻohana ʻana iā net.exe.
- ʻO ka hana pā ahi kānalua me ka hoʻohana ʻana iā netsh.exe.
- ʻO ka hoʻopunipuni kānalua o ka ACL.
- Ke hoʻohana nei i ka BITS no ka exfiltration ʻikepili.
- Nā hana hoʻopunipuni me WMI.
- Nā kauoha palapala kānalua.
- Ke ho'āʻo nei e hoʻolei i nā faila ʻōnaehana palekana.
Hana maikaʻi loa ka lula hui e ʻike i nā mea hoʻoweliweli e like me RUYK, LockerGoga a me nā mea ransomware, malware a me nā mea hana cybercrime. Ua hoʻāʻo ʻia ke kānāwai e ka mea kūʻai aku i nā wahi hana e hōʻemi i nā hopena maikaʻi ʻole. A mahalo i ka papahana SIGMA, ʻo ka hapa nui o kēia mau hōʻailona e hana i kahi helu liʻiliʻi o nā hanana walaʻau.
No ka mea Ma InTrust he lula nānā kēia, hiki iā ʻoe ke hoʻokō i kahi palapala pane ma ke ʻano he pane i kahi hoʻoweliweli. Hiki iā ʻoe ke hoʻohana i kekahi o nā palapala i kūkulu ʻia a i ʻole e hana i kāu ponoʻī a na InTrust e puʻunaue aku iā ia.
Eia hou, hiki iā ʻoe ke nānā i nā telemetry e pili ana i nā hanana: nā palapala PowerShell, ka hoʻokō ʻana i ke kaʻina hana, nā manipulations i hoʻonohonoho ʻia, ka hana hoʻokele WMI, a hoʻohana iā lākou no ka post-mortem i ka wā o nā hanana palekana.
Loaʻa iā InTrust nā haneli o nā lula ʻē aʻe, kekahi o lākou:
- ʻO ka ʻike ʻana i kahi hoʻouka hoʻohaʻahaʻa PowerShell ke hoʻohana ʻia e kekahi i kahi mana kahiko o PowerShell no ka mea... i ka mana kahiko ʻaʻohe ala e hoʻoponopono ai i ka mea e hana nei.
- ʻO ka ʻike ʻana i ka pono kiʻekiʻe i ka wā e komo ai nā moʻokāki i lālā o kekahi hui pono (e like me nā luna hoʻomalu) i nā keʻena hana ma muli o nā hanana palekana.
Hāʻawi ʻo InTrust iā ʻoe e hoʻohana i nā hana palekana maikaʻi loa ma ke ʻano o ka ʻike mua a me nā lula pane. A inā manaʻo ʻoe e hana ʻokoʻa kekahi mea, hiki iā ʻoe ke hana i kāu kope ponoʻī o ka lula a hoʻonohonoho iā ia e like me ka mea e pono ai. Hiki iā ʻoe ke hoʻouna i palapala noi no ke alakaʻi ʻana i kahi pailaka a i ʻole ka loaʻa ʻana o nā pahu hāʻawi me nā laikini pōkole ma o ma kā mākou pūnaewele.
Kau inoa i kā mākou , hoʻopuka mākou i nā memo pōkole a me nā loulou hoihoi ma laila.
E heluhelu i kā mākou mau ʻatikala e pili ana i ka palekana ʻike:
(ʻatikala kaulana)
Source: www.habr.com