Ib qho ntawm ntau hom kev tawm tsam yog qhov spawning ntawm cov txheej txheem phem nyob rau hauv ib tsob ntoo nyob rau hauv cov txheej txheem tag nrho. Txoj hauv kev mus rau cov ntaub ntawv ua tiav tej zaum yuav tsis txaus ntseeg: malware feem ntau siv AppData lossis Temp folders, thiab qhov no tsis raug rau cov haujlwm raug cai. Yuav kom ncaj ncees, nws tsim nyog hais tias qee qhov kev hloov kho tsis siv neeg siv hluav taws xob raug tua hauv AppData, yog li tsuas yog tshawb xyuas qhov chaw tso tawm tsis txaus kom paub meej tias qhov kev zov me nyuam ua phem.
Ib qho ntxiv ntawm kev raug cai yog kos npe cryptographic: ntau qhov kev pabcuam thawj zaug tau kos npe los ntawm tus neeg muag khoom. Koj tuaj yeem siv qhov tseeb tias tsis muaj kev kos npe los ua ib txoj hauv kev los txheeb xyuas cov khoom lag luam uas tsis txaus ntseeg. Tab sis tom qab ntawd dua muaj malware uas siv daim ntawv pov thawj raug nyiag los kos npe rau nws tus kheej.
Koj tuaj yeem tshawb xyuas tus nqi ntawm MD5 lossis SHA256 cryptographic hashs, uas yuav cuam tshuam rau qee qhov kev kuaj pom yav dhau los. Koj tuaj yeem ua qhov kev soj ntsuam zoo li qub los ntawm kev saib cov npe kos npe hauv qhov program (siv Yara cov cai lossis cov khoom tiv thaiv kab mob). Kuj tseem muaj kev tsom xam dynamic (khiav ib qho kev pab cuam hauv qee qhov chaw nyab xeeb thiab saib xyuas nws cov kev ua) thiab thim rov qab engineering.
Nws tuaj yeem muaj ntau yam cim qhia txog kev ua phem. Hauv tsab xov xwm no peb yuav qhia koj yuav ua li cas txhawm rau txheeb xyuas cov xwm txheej cuam tshuam hauv Windows, peb yuav txheeb xyuas cov cim qhia tias txoj cai tsim nyob rau hauv txhawm rau txheeb xyuas cov txheej txheem tsis txaus ntseeg. InTrust yog rau kev sau, txheeb xyuas thiab khaws cia cov ntaub ntawv tsis tsim nyog, uas twb muaj ntau pua qhov kev tawm tsam ua ntej rau ntau hom kev tawm tsam.
Thaum qhov kev pab cuam yog launched, nws yog loaded rau hauv lub computer lub cim xeeb. Cov ntaub ntawv executable muaj cov lus qhia hauv computer thiab cov tsev qiv ntawv txhawb nqa (piv txwv li, *.dll). Thaum tus txheej txheem twb khiav lawm, nws tuaj yeem tsim cov xov ntxiv. Cov xov tso cai rau tus txheej txheem los ua cov txheej txheem sib txawv ntawm cov lus qhia ib txhij. Muaj ntau txoj hauv kev rau siab phem code nkag mus rau lub cim xeeb thiab khiav, cia peb saib qee qhov ntawm lawv.
Txoj hauv kev yooj yim tshaj plaws los tsim cov txheej txheem tsis zoo yog yuam kom tus neeg siv tso nws ncaj qha (piv txwv li, los ntawm email txuas), tom qab ntawd siv RunOnce tus yuam sij los tso nws txhua zaus lub khoos phis tawj qhib. Qhov no kuj suav nrog "fileless" malware uas khaws PowerShell scripts hauv cov ntawv sau npe uas raug tua raws li qhov tshwm sim. Hauv qhov no, tsab ntawv PowerShell yog tus lej tsis zoo.
Qhov teeb meem nrog qhia meej khiav malware yog tias nws yog ib txoj hauv kev paub uas tau pom tau yooj yim. Qee cov malware ua ntau yam ntse, xws li siv lwm txoj kev los pib ua haujlwm hauv lub cim xeeb. Yog li ntawd, tus txheej txheem tuaj yeem tsim lwm cov txheej txheem los ntawm kev khiav ib qho kev qhia hauv computer thiab qhia txog cov ntaub ntawv ua tiav (.exe) kom khiav.
Cov ntaub ntawv tuaj yeem teev tau siv tag nrho txoj hauv kev (piv txwv li, C: Windowssystem32cmd.exe) lossis ib feem ntawm txoj kev (piv txwv li cmd.exe). Yog tias tus txheej txheem qub tsis ruaj ntseg, nws yuav tso cai rau cov haujlwm tsis raug cai khiav. Kev tawm tsam tuaj yeem zoo li no: tus txheej txheem tso tawm cmd.exe yam tsis tau qhia tag nrho txoj hauv kev, tus neeg tawm tsam tso nws cmd.exe nyob rau hauv ib qho chaw kom cov txheej txheem tso nws ua ntej qhov raug cai. Thaum cov malware khiav, nws tuaj yeem tig qhov kev pabcuam raug cai (xws li C: Windowssystem32cmd.exe) kom cov haujlwm qub tseem ua haujlwm tau zoo.
Ib qho kev hloov pauv ntawm qhov kev tawm tsam yav dhau los yog DLL txhaj rau hauv cov txheej txheem raug cai. Thaum tus txheej txheem pib, nws pom thiab thauj cov tsev qiv ntawv uas txuas ntxiv nws txoj haujlwm. Siv DLL txhaj tshuaj, tus neeg tawm tsam tsim lub tsev qiv ntawv siab phem nrog tib lub npe thiab API raws li qhov raug cai. Qhov kev zov me nyuam rub lub tsev qiv ntawv siab phem, thiab nws, dhau los, thauj khoom raug cai, thiab, raws li qhov tsim nyog, hu nws los ua haujlwm. Lub tsev qiv ntawv siab phem pib ua tus neeg sawv cev rau lub tsev qiv ntawv zoo.
Lwm txoj hauv kev los tso cov lej tsis zoo rau hauv lub cim xeeb yog ntxig rau hauv cov txheej txheem tsis zoo uas twb tau ua haujlwm lawm. Cov txheej txheem tau txais cov tswv yim los ntawm ntau qhov chaw - nyeem los ntawm lub network lossis cov ntaub ntawv. Lawv feem ntau ua ib qho kev kuaj xyuas kom ntseeg tau tias cov tswv yim raug cai. Tab sis qee cov txheej txheem tsis muaj kev tiv thaiv zoo thaum ua cov lus qhia. Hauv qhov kev tawm tsam no, tsis muaj lub tsev qiv ntawv ntawm disk lossis executable cov ntaub ntawv uas muaj cov kab mob phem. Txhua yam yog khaws cia rau hauv lub cim xeeb nrog rau cov txheej txheem raug siv.
Tam sim no cia peb saib cov txheej txheem rau kev ua kom muaj kev sib sau ntawm cov xwm txheej zoo li no hauv Windows thiab txoj cai hauv InTrust uas siv kev tiv thaiv kev hem thawj. Ua ntej, cia peb qhib nws los ntawm InTrust tswj console.
Txoj cai siv cov txheej txheem taug qab muaj peev xwm ntawm Windows OS. Hmoov tsis zoo, ua kom muaj kev sau ntawm cov xwm txheej zoo li no tsis pom tseeb. Muaj 3 qhov sib txawv Pawg Txoj Cai teeb tsa koj yuav tsum hloov pauv:
Khoos phis tawj Khoos phis tawj> Txoj Cai> Windows Chaw> Kev Nyab Xeeb> Cov Cai Hauv Zos> Txoj Cai Tswj Xyuas> Cov Txheej Txheem Kev Tshawb Fawb
Khoos phis tawj Khoos phis tawj> Txoj Cai> Windows Chaw> Kev Nyab Xeeb> Kev Tshawb Fawb Txog Kev Tshawb Fawb Txog Kev Tshawb Fawb> Kev Tshawb Fawb Txoj Cai> Cov Lus Qhia Kom Paub> Kev Tshawb Fawb Cov Txheej Txheem Tsim
Khoos phis tawj Khoos phis tawj> Txoj Cai> Tswj Tus Qauv> Txheej Txheem> Kev Tshawb Xyuas Txheej Txheem Tsim> suav nrog kab hais kom ua hauv txheej txheem tsim txheej txheem
Thaum qhib, InTrust cov cai tso cai rau koj los txheeb xyuas cov kev hem thawj uas tsis paub yav dhau los uas ua rau muaj tus cwj pwm tsis txaus ntseeg. Piv txwv li, koj tuaj yeem txheeb xyuas Dridex malware. Ua tsaug rau HP Bromium qhov project, peb paub tias qhov kev hem thawj no ua haujlwm li cas.
Hauv nws cov saw ntawm kev ua, Dridex siv schtasks.exe los tsim ib txoj haujlwm teem tseg. Siv cov khoom siv tshwj xeeb no los ntawm cov kab hais kom ua yog suav tias yog tus cwj pwm tsis txaus ntseeg; tso tawm svchost.exe nrog cov kev txwv uas taw tes rau cov neeg siv cov folders lossis nrog cov tsis zoo ib yam li "net view" lossis "whoami" cov lus txib zoo ib yam. Ntawm no yog ib feem ntawm qhov sib thooj :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themHauv InTrust, txhua tus cwj pwm tsis txaus ntseeg yog suav nrog hauv ib txoj cai, vim tias feem ntau ntawm cov kev ua no tsis yog tshwj xeeb rau ib qho kev hem thawj, tab sis yog qhov tsis txaus ntseeg nyob rau hauv ib qho nyuaj thiab hauv 99% ntawm cov xwm txheej yog siv los tsis yog tag nrho cov hom phiaj. Daim ntawv teev npe no suav nrog, tab sis tsis txwv rau:
- Cov txheej txheem khiav los ntawm qhov chaw txawv txawv, xws li cov neeg siv ib ntus folders.
- Cov txheej txheem kev paub zoo nrog qhov tsis txaus ntseeg qub txeeg qub teg - qee qhov kev hem thawj yuav sim siv lub npe ntawm cov txheej txheem txheej txheem kom tsis txhob muaj kev cuam tshuam.
- Kev ua txhaum cai ntawm kev tswj hwm cov cuab yeej xws li cmd lossis PsExec thaum lawv siv cov ntaub ntawv pov thawj hauv zos lossis cov cuab yeej tsis txaus ntseeg.
- Kev ua haujlwm tsis txaus ntseeg duab ntxoov ntxoo yog ib qho kev coj cwj pwm ntawm cov kab mob ransomware ua ntej encrypting system; lawv tua cov thaub qab:
- Ntawm vssadmin.exe;
- Via WMI. - Sau npe dumps ntawm tag nrho cov npe hives.
- Kab rov tav txav ntawm siab phem code thaum tus txheej txheem yog launched remotely siv commands xws li at.exe.
- Cov kev ua haujlwm hauv zos tsis txaus ntseeg thiab kev ua haujlwm sau npe siv net.exe.
- Kev ua haujlwm tsis zoo ntawm firewall siv netsh.exe.
- Kev tsis txaus ntseeg ntawm ACL.
- Siv BITS rau kev tshem tawm cov ntaub ntawv.
- Cov kev ua tsis ncaj ncees nrog WMI.
- Cov lus ceeb toom tsis txaus ntseeg.
- Sim mus pov tseg cov ntaub ntawv kaw lus ruaj ntseg.
Txoj cai ua ke ua haujlwm tau zoo heev txhawm rau txheeb xyuas cov kev hem thawj xws li RUYK, LockerGoga thiab lwm yam ransomware, malware thiab cybercrime toolkits. Txoj cai tau raug sim los ntawm tus neeg muag khoom hauv qhov chaw tsim khoom kom txo qis qhov tsis zoo. Thiab ua tsaug rau qhov SIGMA qhov project, feem ntau ntawm cov ntsuas no tsim cov suab nrov tsawg tsawg.
Vim Hauv InTrust qhov no yog txoj cai saib xyuas, koj tuaj yeem ua tiav tsab ntawv teb raws li cov lus teb rau qhov kev hem thawj. Koj tuaj yeem siv ib qho ntawm cov ntawv sau ua ke lossis tsim koj tus kheej thiab InTrust yuav cia li faib nws.
Tsis tas li ntawd, koj tuaj yeem tshawb xyuas txhua qhov xwm txheej ntsig txog telemetry: PowerShell cov ntawv sau, kev ua tiav, kev teem sijhawm ua haujlwm, WMI kev tswj hwm kev ua haujlwm, thiab siv lawv rau tom qab kev tuag thaum muaj xwm txheej ruaj ntseg.
InTrust muaj ntau pua txoj cai, qee qhov ntawm lawv:
- Tshawb nrhiav PowerShell downgrade nres yog thaum ib tus neeg txhob txwm siv lub qub version ntawm PowerShell vim ... nyob rau hauv cov laus version tsis muaj txoj hauv kev los tshuaj xyuas qhov tshwm sim.
- High-privilege logon detection yog thaum cov nyiaj uas yog cov tswv cuab ntawm ib pawg neeg muaj cai (xws li cov thawj tswj hwm) nkag mus rau cov chaw ua haujlwm los ntawm kev sib tsoo lossis vim muaj teeb meem kev nyab xeeb.
InTrust tso cai rau koj siv cov kev coj ua kev nyab xeeb zoo tshaj plaws nyob rau hauv daim ntawv ntawm kev kuaj pom ua ntej thiab cov cai tiv thaiv. Thiab yog tias koj xav tias ib yam dab tsi yuav tsum ua haujlwm txawv, koj tuaj yeem ua koj tus kheej daim qauv ntawm txoj cai thiab teeb tsa nws raws li xav tau. Koj tuaj yeem xa daim ntawv thov ua tus tsav lossis tau txais cov khoom siv faib khoom nrog cov ntawv tso cai ib ntus dhau los nyob rau peb lub vev xaib.
Subscribe rau peb , peb luam tawm cov ntawv luv luv thiab nthuav txuas rau ntawd.
Nyeem peb lwm cov lus hais txog kev ruaj ntseg cov ntaub ntawv:
(txoj kev nrov)
Tau qhov twg los: www.hab.com