सबसे आम प्रकार के हमलों में से एक पूरी तरह से सम्मानजनक प्रक्रियाओं के तहत एक पेड़ में एक दुर्भावनापूर्ण प्रक्रिया को जन्म देना है। निष्पादन योग्य फ़ाइल का पथ संदिग्ध हो सकता है: मैलवेयर अक्सर AppData या Temp फ़ोल्डरों का उपयोग करता है, और यह वैध प्रोग्रामों के लिए विशिष्ट नहीं है। निष्पक्ष होने के लिए, यह कहने लायक है कि कुछ स्वचालित अपडेट उपयोगिताओं को ऐपडाटा में निष्पादित किया जाता है, इसलिए केवल लॉन्च स्थान की जांच करना यह पुष्टि करने के लिए पर्याप्त नहीं है कि प्रोग्राम दुर्भावनापूर्ण है।
वैधता का एक अतिरिक्त कारक क्रिप्टोग्राफ़िक हस्ताक्षर है: कई मूल कार्यक्रम विक्रेता द्वारा हस्ताक्षरित होते हैं। आप इस तथ्य का उपयोग कर सकते हैं कि संदिग्ध स्टार्टअप आइटम की पहचान करने की विधि के रूप में कोई हस्ताक्षर नहीं है। लेकिन फिर भी एक मैलवेयर है जो स्वयं हस्ताक्षर करने के लिए चुराए गए प्रमाणपत्र का उपयोग करता है।
आप MD5 या SHA256 क्रिप्टोग्राफ़िक हैश का मान भी जांच सकते हैं, जो पहले से पता लगाए गए कुछ मैलवेयर के अनुरूप हो सकता है। आप प्रोग्राम में हस्ताक्षरों को देखकर (Yara नियमों या एंटीवायरस उत्पादों का उपयोग करके) स्थैतिक विश्लेषण कर सकते हैं। इसमें गतिशील विश्लेषण (कुछ सुरक्षित वातावरण में एक प्रोग्राम चलाना और उसके कार्यों की निगरानी करना) और रिवर्स इंजीनियरिंग भी है।
किसी दुर्भावनापूर्ण प्रक्रिया के कई संकेत हो सकते हैं. इस लेख में हम आपको बताएंगे कि विंडोज़ में प्रासंगिक घटनाओं की ऑडिटिंग कैसे सक्षम करें, हम उन संकेतों का विश्लेषण करेंगे जिन पर अंतर्निहित नियम निर्भर करता है
जब प्रोग्राम लॉन्च किया जाता है, तो इसे कंप्यूटर की मेमोरी में लोड किया जाता है। निष्पादन योग्य फ़ाइल में कंप्यूटर निर्देश और सहायक लाइब्रेरीज़ (उदाहरण के लिए, *.dll) शामिल हैं। जब कोई प्रक्रिया पहले से चल रही हो, तो यह अतिरिक्त थ्रेड बना सकती है। थ्रेड्स एक प्रक्रिया को निर्देशों के विभिन्न सेटों को एक साथ निष्पादित करने की अनुमति देते हैं। दुर्भावनापूर्ण कोड के मेमोरी में घुसने और चलने के कई तरीके हैं, आइए उनमें से कुछ पर नज़र डालें।
किसी दुर्भावनापूर्ण प्रक्रिया को लॉन्च करने का सबसे आसान तरीका उपयोगकर्ता को इसे सीधे लॉन्च करने के लिए मजबूर करना है (उदाहरण के लिए, ईमेल अनुलग्नक से), फिर हर बार कंप्यूटर चालू होने पर इसे लॉन्च करने के लिए रनऑन कुंजी का उपयोग करें। इसमें "फ़ाइल रहित" मैलवेयर भी शामिल है जो पावरशेल स्क्रिप्ट को रजिस्ट्री कुंजियों में संग्रहीत करता है जिन्हें ट्रिगर के आधार पर निष्पादित किया जाता है। इस मामले में, PowerShell स्क्रिप्ट दुर्भावनापूर्ण कोड है।
स्पष्ट रूप से चलने वाले मैलवेयर के साथ समस्या यह है कि यह एक ज्ञात तरीका है जिसका आसानी से पता लगाया जा सकता है। कुछ मैलवेयर अधिक चतुर चीजें करते हैं, जैसे मेमोरी में निष्पादन शुरू करने के लिए किसी अन्य प्रक्रिया का उपयोग करना। इसलिए, एक प्रक्रिया एक विशिष्ट कंप्यूटर निर्देश चलाकर और चलाने के लिए एक निष्पादन योग्य फ़ाइल (.exe) निर्दिष्ट करके दूसरी प्रक्रिया बना सकती है।
फ़ाइल को पूर्ण पथ (उदाहरण के लिए, C:Windowssystem32cmd.exe) या आंशिक पथ (उदाहरण के लिए, cmd.exe) का उपयोग करके निर्दिष्ट किया जा सकता है। यदि मूल प्रक्रिया असुरक्षित है, तो यह अवैध कार्यक्रमों को चलने की अनुमति देगी। एक हमला इस तरह दिख सकता है: एक प्रक्रिया पूर्ण पथ निर्दिष्ट किए बिना cmd.exe लॉन्च करती है, हमलावर अपने cmd.exe को एक स्थान पर रखता है ताकि प्रक्रिया इसे वैध से पहले लॉन्च कर सके। एक बार मैलवेयर चलने के बाद, यह एक वैध प्रोग्राम (जैसे C:Windowssystem32cmd.exe) लॉन्च कर सकता है ताकि मूल प्रोग्राम ठीक से काम करता रहे।
पिछले हमले का एक रूपांतर एक वैध प्रक्रिया में डीएलएल इंजेक्शन है। जब कोई प्रक्रिया शुरू होती है, तो यह उन पुस्तकालयों को ढूंढती है और लोड करती है जो इसकी कार्यक्षमता का विस्तार करते हैं। डीएलएल इंजेक्शन का उपयोग करके, एक हमलावर वैध लाइब्रेरी के समान नाम और एपीआई के साथ एक दुर्भावनापूर्ण लाइब्रेरी बनाता है। प्रोग्राम एक दुर्भावनापूर्ण लाइब्रेरी को लोड करता है, और बदले में, यह एक वैध लाइब्रेरी को लोड करता है, और, आवश्यकतानुसार, इसे संचालन करने के लिए कॉल करता है। दुर्भावनापूर्ण लाइब्रेरी अच्छी लाइब्रेरी के लिए प्रॉक्सी के रूप में कार्य करना शुरू कर देती है।
दुर्भावनापूर्ण कोड को मेमोरी में डालने का दूसरा तरीका इसे पहले से चल रही असुरक्षित प्रक्रिया में डालना है। प्रक्रियाएं विभिन्न स्रोतों से इनपुट प्राप्त करती हैं - नेटवर्क या फ़ाइलों से पढ़ना। वे आम तौर पर यह सुनिश्चित करने के लिए जांच करते हैं कि इनपुट वैध है। लेकिन कुछ प्रक्रियाओं में निर्देशों को निष्पादित करते समय उचित सुरक्षा नहीं होती है। इस हमले में, डिस्क पर कोई लाइब्रेरी या दुर्भावनापूर्ण कोड वाली निष्पादन योग्य फ़ाइल नहीं है। उपयोग की जा रही प्रक्रिया के साथ-साथ सब कुछ मेमोरी में संग्रहीत होता है।
आइए अब विंडोज़ में ऐसी घटनाओं के संग्रह को सक्षम करने की पद्धति और इनट्रस्ट में नियम को देखें जो ऐसे खतरों के खिलाफ सुरक्षा लागू करता है। सबसे पहले, आइए इसे InTrust प्रबंधन कंसोल के माध्यम से सक्रिय करें।
नियम विंडोज़ ओएस की प्रक्रिया ट्रैकिंग क्षमताओं का उपयोग करता है। दुर्भाग्य से, ऐसी घटनाओं के संग्रह को सक्षम करना स्पष्ट नहीं है। 3 अलग-अलग समूह नीति सेटिंग्स हैं जिन्हें आपको बदलने की आवश्यकता है:
कंप्यूटर कॉन्फ़िगरेशन > नीतियाँ > विंडोज़ सेटिंग्स > सुरक्षा सेटिंग्स > स्थानीय नीतियाँ > ऑडिट नीति > ऑडिट प्रक्रिया ट्रैकिंग
कंप्यूटर कॉन्फ़िगरेशन > नीतियां > विंडोज़ सेटिंग्स > सुरक्षा सेटिंग्स > उन्नत ऑडिट नीति कॉन्फ़िगरेशन > ऑडिट नीतियां > विस्तृत ट्रैकिंग > ऑडिट प्रक्रिया निर्माण
कंप्यूटर कॉन्फ़िगरेशन > नीतियां > प्रशासनिक टेम्पलेट > सिस्टम > ऑडिट प्रक्रिया निर्माण > प्रक्रिया निर्माण घटनाओं में कमांड लाइन शामिल करें
एक बार सक्षम होने पर, इनट्रस्ट नियम आपको पहले से अज्ञात खतरों का पता लगाने की अनुमति देते हैं जो संदिग्ध व्यवहार प्रदर्शित करते हैं। उदाहरण के तौर पर आप पहचान सकते हैं
अपनी क्रियाओं की श्रृंखला में, Dridex एक निर्धारित कार्य बनाने के लिए schtasks.exe का उपयोग करता है। कमांड लाइन से इस विशेष उपयोगिता का उपयोग करना बहुत ही संदिग्ध व्यवहार माना जाता है; svchost.exe को उन मापदंडों के साथ लॉन्च करना जो उपयोगकर्ता फ़ोल्डरों को इंगित करते हैं या "नेट व्यू" या "व्हाओमी" कमांड के समान मापदंडों के साथ समान दिखते हैं। यहां संबंधित का एक अंश दिया गया है
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
इनट्रस्ट में, सभी संदिग्ध व्यवहार को एक नियम में शामिल किया गया है, क्योंकि इनमें से अधिकांश कार्य किसी विशेष खतरे के लिए विशिष्ट नहीं हैं, बल्कि जटिल रूप से संदिग्ध हैं और 99% मामलों में पूरी तरह से नेक उद्देश्यों के लिए उपयोग नहीं किए जाते हैं। कार्रवाइयों की इस सूची में ये शामिल हैं, लेकिन यहीं तक सीमित नहीं हैं:
- प्रक्रियाएँ असामान्य स्थानों से चल रही हैं, जैसे उपयोगकर्ता अस्थायी फ़ोल्डर।
- संदिग्ध वंशानुक्रम के साथ सुप्रसिद्ध सिस्टम प्रक्रिया - कुछ खतरे अज्ञात बने रहने के लिए सिस्टम प्रक्रियाओं के नाम का उपयोग करने का प्रयास कर सकते हैं।
- जब वे स्थानीय सिस्टम क्रेडेंशियल्स या संदिग्ध विरासत का उपयोग करते हैं तो cmd या PsExec जैसे प्रशासनिक उपकरणों का संदिग्ध निष्पादन।
- किसी सिस्टम को एन्क्रिप्ट करने से पहले संदिग्ध छाया प्रतिलिपि संचालन रैंसमवेयर वायरस का एक सामान्य व्यवहार है; वे बैकअप को नष्ट कर देते हैं:
- vssadmin.exe के माध्यम से;
- डब्लूएमआई के माध्यम से। - संपूर्ण रजिस्ट्री हाइव्स के रजिस्टर डंप.
- जब कोई प्रक्रिया at.exe जैसे कमांड का उपयोग करके दूरस्थ रूप से लॉन्च की जाती है तो दुर्भावनापूर्ण कोड की क्षैतिज गति।
- Net.exe का उपयोग करके संदिग्ध स्थानीय समूह संचालन और डोमेन संचालन।
- Netsh.exe का उपयोग कर संदिग्ध फ़ायरवॉल गतिविधि।
- एसीएल में संदिग्ध हेरफेर।
- डेटा निष्कासन के लिए बिट्स का उपयोग करना।
- WMI के साथ संदिग्ध हेरफेर।
- संदिग्ध स्क्रिप्ट आदेश.
- सुरक्षित सिस्टम फ़ाइलों को डंप करने का प्रयास।
संयुक्त नियम RUYK, LockerGoga और अन्य रैंसमवेयर, मैलवेयर और साइबर क्राइम टूलकिट जैसे खतरों का पता लगाने के लिए बहुत अच्छी तरह से काम करता है। झूठी सकारात्मकता को कम करने के लिए उत्पादन परिवेश में विक्रेता द्वारा नियम का परीक्षण किया गया है। और सिग्मा परियोजना के लिए धन्यवाद, इनमें से अधिकांश संकेतक न्यूनतम संख्या में शोर की घटनाएं उत्पन्न करते हैं।
क्योंकि इनट्रस्ट में यह एक निगरानी नियम है, आप किसी खतरे की प्रतिक्रिया के रूप में एक प्रतिक्रिया स्क्रिप्ट निष्पादित कर सकते हैं। आप अंतर्निहित स्क्रिप्ट में से किसी एक का उपयोग कर सकते हैं या अपनी स्वयं की स्क्रिप्ट बना सकते हैं और InTrust स्वचालित रूप से इसे वितरित करेगा।
इसके अलावा, आप सभी ईवेंट-संबंधित टेलीमेट्री का निरीक्षण कर सकते हैं: पावरशेल स्क्रिप्ट, प्रक्रिया निष्पादन, निर्धारित कार्य हेरफेर, डब्लूएमआई प्रशासनिक गतिविधि, और सुरक्षा घटनाओं के दौरान पोस्टमार्टम के लिए उनका उपयोग कर सकते हैं।
इनट्रस्ट के सैकड़ों अन्य नियम हैं, उनमें से कुछ:
- पॉवरशेल डाउनग्रेड हमले का पता लगाना तब होता है जब कोई जानबूझकर पॉवरशेल के पुराने संस्करण का उपयोग करता है क्योंकि... पुराने संस्करण में क्या हो रहा है इसका ऑडिट करने का कोई तरीका नहीं था।
- उच्च-विशेषाधिकार लॉगऑन का पता लगाना तब होता है जब एक निश्चित विशेषाधिकार प्राप्त समूह (जैसे डोमेन प्रशासक) के सदस्य खाते दुर्घटनावश या सुरक्षा घटनाओं के कारण कार्यस्थानों पर लॉग ऑन हो जाते हैं।
इनट्रस्ट आपको पूर्वनिर्धारित पहचान और प्रतिक्रिया नियमों के रूप में सर्वोत्तम सुरक्षा प्रथाओं का उपयोग करने की अनुमति देता है। और यदि आपको लगता है कि किसी चीज़ को अलग तरीके से काम करना चाहिए, तो आप नियम की अपनी प्रति बना सकते हैं और आवश्यकतानुसार इसे कॉन्फ़िगर कर सकते हैं। आप अस्थायी लाइसेंस के साथ पायलट संचालन करने या वितरण किट प्राप्त करने के लिए आवेदन जमा कर सकते हैं
हमारी सदस्यता लें
सूचना सुरक्षा पर हमारे अन्य लेख पढ़ें:
स्रोत: www.habr.com