Otu n'ime ụdị ọgụ a na-ahụkarị bụ ịmịpụta usoro ọjọọ n'ime osisi n'okpuru usoro nkwanye ùgwù zuru oke. Ụzọ nke faịlụ nwere ike ime nwere ike ịbụ enyo: malware na-ejikarị AppData ma ọ bụ nchekwa nchekwa Temp, na nke a abụghị ụdị maka mmemme ziri ezi. Iji mee nke ọma, ọ bara uru ịsị na a na-egbu ụfọdụ akụrụngwa mmelite akpaka na AppData, yabụ naanị ịlele ebe mmalite ezughị iji gosi na mmemme ahụ dị njọ.
Ihe mgbakwunye nke izi ezi bụ mbinye aka cryptographic: ọtụtụ mmemme izizi bụ onye na-ere ahịa bịanyere aka na ya. Ị nwere ike iji eziokwu ahụ bụ na ọ dịghị mbinye aka dị ka usoro maka ịchọpụta ihe mmalite na-enyo enyo. Mana ọzọ enwere malware na-eji asambodo ezuru iji binye aka n'onwe ya.
Ịnwekwara ike ịlele uru MD5 ma ọ bụ SHA256 cryptographic hashes, nke nwere ike dabara na ụfọdụ malware achọpụtala na mbụ. Ị nwere ike ịme nyocha static site na ilele mbinye aka na mmemme (iji iwu Yara ma ọ bụ ngwaahịa antivirus). Enwekwara nyocha siri ike (na-eme mmemme na gburugburu ebe nchekwa na nyochaa omume ya) na ntụgharị injinia.
Enwere ike inwe ọtụtụ ihe ịrịba ama nke usoro obi ọjọọ. N'isiokwu a, anyị ga-agwa gị otu esi eme ka nyochaa ihe omume dị mkpa na Windows, anyị ga-enyocha ihe ịrịba ama nke iwu arụnyere na-adabere na ya. iji chọpụta usoro a na-enyo enyo. InTrust bụ maka ịnakọta, nyocha na ịchekwa data na-edoghị anya, nke enweelarị ọtụtụ narị mmeghachi omume akọwapụtara na ụdị ọgụ dị iche iche.
Mgbe mmemme malitere, a na-etinye ya n'ime ebe nchekwa kọmputa. Faịlụ enwere ike ime nwere ntuziaka kọmpụta na ọba akwụkwọ na-akwado (dịka ọmụmaatụ, * .dll). Mgbe usoro na-agba ọsọ, ọ nwere ike ịmepụta eriri ndị ọzọ. Eriri na-enye usoro ohere ịme usoro ntụziaka dị iche iche n'otu oge. Enwere ọtụtụ ụzọ maka koodu ọjọọ iji banye ebe nchekwa wee gbaa ọsọ, ka anyị leba anya n'ụfọdụ n'ime ha.
Ụzọ kachasị mfe iji malite usoro ọjọọ bụ ịmanye onye ọrụ ịmalite ya ozugbo (dịka ọmụmaatụ, site na mgbakwunye email), wee jiri igodo RunOnce malite ya mgbe ọ bụla agbanyere kọmputa. Nke a gụnyekwara malware “enweghị faịlụ” nke na-echekwa script PowerShell na igodo ndekọ nke a na-egbu dabere na mkpalite. N'okwu a, edemede PowerShell bụ koodu ọjọọ.
Nsogbu dị na malware na-agba ọsọ n'ụzọ doro anya bụ na ọ bụ ụzọ a ma ama nke a na-achọpụta ngwa ngwa. Ụfọdụ malware na-eme ihe dị nkọ karịa, dị ka iji usoro ọzọ malite ime na ebe nchekwa. Ya mere, usoro nwere ike ịmepụta usoro ọzọ site na iji ntuziaka kọmpụta akọwapụtara na ịkọwa faịlụ executable (.exe) ka ọ na-agba.
Enwere ike ịkọwa faịlụ ahụ site na iji ụzọ zuru oke (dịka ọmụmaatụ, C: Windowssystem32cmd.exe) ma ọ bụ ụzọ elea anya (dịka ọmụmaatụ, cmd.exe). Ọ bụrụ na usoro mbụ ahụ enweghị nchebe, ọ ga-ekwe ka mmemme na-akwadoghị na-agba ọsọ. Mwakpo nwere ike dị ka nke a: usoro na-amalite cmd.exe na-akọwapụtaghị ụzọ zuru ezu, onye na-awakpo ahụ na-etinye cmd.exe ya n'otu ebe ka usoro ahụ malite ya tupu nke ziri ezi. Ozugbo malware na-agba ọsọ, ọ nwere ike ịmalite mmemme ziri ezi (dị ka C:Windowssystem32cmd.exe) ka mmemme mbụ ahụ wee na-arụ ọrụ nke ọma.
Ọdịiche nke mbuso agha gara aga bụ ịgbanye DLL n'ime usoro ziri ezi. Mgbe usoro malitere, ọ na-achọta ma na-ebunye ụlọ akwụkwọ ndị na-agbatị ọrụ ya. N'iji ntụtụ DLL, onye na-awakpo na-emepụta ọbá akwụkwọ ọjọọ nwere otu aha na API dị ka nke ziri ezi. Ihe omume ahụ na-ebu ọba akwụkwọ ọjọọ, ya, n'aka nke ya, na-ebu nke ziri ezi, na, dị ka ọ dị mkpa, na-akpọ ya ka ọ rụọ ọrụ. Ọbá akwụkwọ obi ọjọọ na-amalite ịrụ ọrụ dị ka onye nnọchiteanya maka ọbá akwụkwọ dị mma.
Ụzọ ọzọ isi tinye koodu ọjọọ n'ime ebe nchekwa bụ itinye ya na usoro adịghị mma nke na-arụ ọrụ ugbu a. Usoro na-enweta ntinye site na isi mmalite dị iche iche - ọgụgụ site na netwọk ma ọ bụ faịlụ. Ha na-emekarị nlele iji hụ na ntinye ahụ ziri ezi. Mana ụfọdụ usoro enweghị nchebe kwesịrị ekwesị mgbe ị na-eme ntụziaka. Na mwakpo a, enweghị ọbá akwụkwọ dị na diski ma ọ bụ faịlụ nwere ike ime nwere koodu ọjọọ. A na-echekwa ihe niile na ebe nchekwa yana usoro a na-erigbu.
Ugbu a, ka anyị leba anya na usoro iji mee ka nchịkọta ihe omume dị na Windows na iwu dị na InTrust na-eme ihe nchebe megide iyi egwu dị otú ahụ. Nke mbụ, ka anyị mee ya site na njikwa njikwa InTrust.
Iwu na-eji ike nsuso usoro nke Windows OS. N'ụzọ dị mwute, inye ike nchịkọta nke ihe omume ndị dị otú ahụ adịghị anya. Enwere ntọala iwu otu atọ dị iche iche ịchọrọ ịgbanwe:
Nhazi Kọmputa> Atumatu> Ntọala Windows> Ntọala nchekwa> Amụma mpaghara> Amụma nyocha> Nyochaa usoro nyocha.
Nhazi Kọmputa> Atumatu> Ntọala Windows> Ntọala nchekwa> Nhazi amụma nyocha dị elu> Amụma nyocha> Ndepụta zuru ezu> imepụta usoro nyocha.
Nhazi Kọmputa> Atumatu> Ndebiri nchịkwa> Sistemu> Nhazi usoro nyocha> Gụnye ahịrị iwu na mmemme okike usoro.
Ozugbo agbanyere ya, iwu InTrust na-enye gị ohere ịchọpụta ihe egwu amabeghị na mbụ nke gosipụtara omume enyo. Dịka ọmụmaatụ, ị nwere ike ịmata Dridex malware. Ekele maka ọrụ HP Bromium, anyị maara ka egwu a si arụ ọrụ.
N'ime usoro omume ya, Dridex na-eji schtasks.exe mepụta ọrụ ahaziri. A na-ewere iji ngwa a sitere na ahịrị iwu a na-enyo enyo; ịmalite svchost.exe na paramita na-arụtụ aka na nchekwa ndị ọrụ ma ọ bụ nwere paramita yiri nke “netview” ma ọ bụ “whoami” iwu yiri ya. Nke a bụ iberibe ihe kwekọrọ :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themNa InTrust, omume niile na-enyo enyo gụnyere n'otu iwu, n'ihi na ọtụtụ n'ime omume ndị a abụghị kpọmkwem maka otu iyi egwu, kama ọ na-enyo enyo na mgbagwoju anya na na 99% nke ikpe a na-eji eme ihe maka nzube dị mma. Ndepụta omume a gụnyere, mana ọnweghị oke na:
- Usoro na-esi na ebe a na-adịghị ahụkebe, dị ka nchekwa nchekwa nwa oge nke onye ọrụ.
- Usoro usoro ama ama nke ọma na ihe nketa na-enyo enyo - ụfọdụ egwu nwere ike ịnwa iji aha usoro sistemụ ka achọpụtaghị ya.
- Mkpebi enyo enyo nke ngwaọrụ nchịkwa dị ka cmd ma ọ bụ PsExec mgbe ha na-eji nzere sistemụ mpaghara ma ọ bụ ihe nketa enyo enyo.
- Arụ ọrụ oyiri onyinyo enyo enyo bụ omume a na-ahụkarị nke nje ransomware tupu izochi sistemu; ha na-egbu nkwado ndabere na mpaghara:
- Site na vssadmin.exe;
- Site na WMI. - Debanye aha mkpofu nke hives ndekọ niile.
- Ntugharị kwụ ọtọ nke koodu ọjọọ mgbe a na-ebido usoro site na iji iwu dị ka at.exe.
- Ọrụ otu mpaghara na-enyo enyo na arụ ọrụ ngalaba site na iji net.exe.
- Ọrụ firewall enyo enyo na-eji netsh.exe.
- Ntugharị enyo nke ACL.
- Iji BITS maka mbupụ data.
- Nghọta a na-enyo enyo na WMI.
- Iwu edemede enyo enyo.
- Mgbalị ịkwatu faịlụ sistemụ echekwara.
Iwu jikọtara ọnụ na-arụ ọrụ nke ọma ịchọpụta ihe egwu dị ka RUYK, LockerGoga na ihe mgbapụta ndị ọzọ, malware na ngwa cybercrime. Onye na-ere ahịa nwalere iwu a na gburugburu mmepụta iji belata ihe dị mma. Na ekele maka ọrụ SIGMA, ọtụtụ n'ime ihe ngosi ndị a na-emepụta ntakịrị ihe omume mkpọtụ.
N'ihi na Na InTrust nke a bụ iwu nleba anya, ị nwere ike mebe edemede nzaghachi dịka mmeghachi omume maka iyi egwu. Ị nwere ike iji otu n'ime ederede arụnyere ma ọ bụ mepụta nke gị na InTrust ga-ekesa ya ozugbo.
Na mgbakwunye, ị nwere ike nyochaa telemetry niile metụtara mmemme: scripts PowerShell, mmezu usoro, nhazi ọrụ ahaziri ahazi, ọrụ nhazi WMI, wee jiri ha mee ihe maka ọnwụ ọnwụ n'oge ihe nchekwa.
InTrust nwere ọtụtụ narị iwu ndị ọzọ, ụfọdụ n'ime ha:
- Ịchọta mwakpo mgbada PowerShell bụ mgbe mmadụ kpachaara anya jiri ụdị PowerShell ochie n'ihi na... na ụdị ochie ọ nweghị ụzọ iji nyochaa ihe na-eme.
- Nchọpụta akara ngosi dị elu bụ mgbe akaụntụ ndị bụ ndị otu nwere oke (dị ka ndị nchịkwa ngalaba) banye na ọdụ ọrụ site na mberede ma ọ bụ n'ihi ihe nchekwa.
InTrust na-enye gị ohere iji usoro nchekwa kachasị mma n'ụdị nke achọpụtara mbụ yana iwu mmeghachi omume. Ma ọ bụrụ na ị na-eche na ihe kwesịrị ịrụ ọrụ dị iche iche, ị nwere ike ịmepụta onwe gị oyiri nke iwu na hazie ya dị ka mkpa. Ị nwere ike nyefee ngwa maka iduzi onye ọkwọ ụgbọ elu ma ọ bụ nweta ngwa nkesa nwere ikikere nwa oge site na na weebụsaịtị anyị.
Debanye aha na anyị , anyị na-ebipụta obere ndetu na njikọ na-adọrọ mmasị n'ebe ahụ.
Gụọ akụkọ anyị ndị ọzọ gbasara nchekwa ozi:
(akụkọ ama ama)
isi: www.habr.com