Ein algengasta tegund árása er hrygning illgjarns ferlis í tré undir fullkomlega virðulegum ferlum. Slóðin að keyrsluskránni gæti verið grunsamleg: spilliforrit notar oft AppData eða Temp möppurnar og þetta er ekki dæmigert fyrir lögmæt forrit. Til að vera sanngjarn er það þess virði að segja að sum sjálfvirk uppfærslutól eru keyrð í AppData, svo það er ekki nóg að athuga ræsingarstaðinn til að staðfesta að forritið sé illgjarnt.
Annar lögmætisþáttur er dulmálsundirskrift: mörg frumleg forrit eru undirrituð af seljanda. Þú getur notað þá staðreynd að það er engin undirskrift sem aðferð til að bera kennsl á grunsamlega ræsingu. En aftur er það spilliforrit sem notar stolið vottorð til að undirrita sig.
Þú getur líka athugað gildi MD5 eða SHA256 dulritunar kjötkássa, sem gæti samsvarað einhverjum spilliforritum sem áður hafa fundist. Þú getur framkvæmt kyrrstöðugreiningu með því að skoða undirskriftir í forritinu (með Yara reglum eða vírusvarnarvörum). Það er líka kraftmikil greining (að keyra forrit í einhverju öruggu umhverfi og fylgjast með aðgerðum þess) og öfug verkfræði.
Það geta verið mörg merki um illgjarnt ferli. Í þessari grein munum við segja þér hvernig á að virkja endurskoðun á viðeigandi atburðum í Windows, við munum greina merki sem innbyggða reglan byggir á
Þegar forritið er ræst er það hlaðið inn í minni tölvunnar. Keyranlega skráin inniheldur tölvuleiðbeiningar og stuðningssöfn (til dæmis *.dll). Þegar ferli er þegar í gangi getur það búið til viðbótarþræði. Þræðir leyfa ferli að framkvæma mismunandi sett af leiðbeiningum samtímis. Það eru margar leiðir fyrir illgjarn kóða til að komast inn í minnið og keyra, við skulum skoða nokkrar þeirra.
Auðveldasta leiðin til að hefja illgjarnt ferli er að þvinga notandann til að ræsa það beint (til dæmis úr viðhengi í tölvupósti), nota síðan RunOnce takkann til að ræsa það í hvert skipti sem kveikt er á tölvunni. Þetta felur einnig í sér „skráalaus“ spilliforrit sem geymir PowerShell forskriftir í skrásetningarlyklum sem eru keyrðir út frá kveikju. Í þessu tilviki er PowerShell handritið illgjarn kóða.
Vandamálið við beinlínis að keyra spilliforrit er að það er þekkt nálgun sem auðvelt er að greina. Sumt spilliforrit gerir snjallara hluti, eins og að nota annað ferli til að byrja að keyra í minni. Þess vegna getur ferli búið til annað ferli með því að keyra sérstaka tölvuleiðbeiningar og tilgreina keyrsluskrá (.exe) til að keyra.
Hægt er að tilgreina skrána með því að nota fulla slóð (til dæmis C:Windowssystem32cmd.exe) eða hluta slóð (til dæmis cmd.exe). Ef upprunalega ferlið er óöruggt mun það leyfa ólögmætum forritum að keyra. Árás getur litið svona út: ferli ræsir cmd.exe án þess að tilgreina alla slóðina, árásarmaðurinn setur cmd.exe sinn á stað þannig að ferlið ræsir það á undan þeim lögmætu. Þegar spilliforritið er keyrt getur það síðan ræst lögmætt forrit (eins og C:Windowssystem32cmd.exe) þannig að upprunalega forritið haldi áfram að virka rétt.
Afbrigði af fyrri árás er DLL innspýting í lögmætt ferli. Þegar ferli byrjar finnur það og hleður bókasöfnum sem auka virkni þess. Með því að nota DLL innspýtingu býr árásarmaður til illgjarnt bókasafn með sama nafni og API og lögmætt. Forritið hleður illgjarnt bókasafn og það hleður aftur lögmætu bókasafni og kallar það eftir þörfum til að framkvæma aðgerðir. Illgjarn bókasafn byrjar að virka sem umboð fyrir góða bókasafnið.
Önnur leið til að setja skaðlegan kóða inn í minnið er að setja hann inn í óöruggt ferli sem er þegar í gangi. Ferlar fá inntak frá ýmsum aðilum - lestur af netinu eða skrám. Þeir framkvæma venjulega athugun til að tryggja að inntakið sé lögmætt. En sum ferli hafa ekki viðeigandi vernd þegar leiðbeiningar eru framkvæmdar. Í þessari árás er ekkert bókasafn á diski eða keyrsluskrá sem inniheldur skaðlegan kóða. Allt er geymt í minni ásamt ferlinu sem er nýtt.
Nú skulum við skoða aðferðafræðina til að gera söfnun slíkra atburða kleift í Windows og regluna í InTrust sem útfærir vernd gegn slíkum ógnum. Fyrst skulum við virkja það í gegnum InTrust stjórnborðið.
Reglan notar ferlirakningargetu Windows OS. Því miður er langt frá því að vera sjálfsagt að gera söfnun slíkra atburða kleift. Það eru 3 mismunandi hópstefnustillingar sem þú þarft að breyta:
Tölvustillingar > Reglur > Windows Stillingar > Öryggisstillingar > Staðbundnar reglur > Endurskoðunarstefna > Úttektarferlisrakningu
Tölvustillingar > Reglur > Windows Stillingar > Öryggisstillingar > Ítarlegri stillingar endurskoðunarstefnu > Endurskoðunarreglur > Ítarleg rakning > Búa til endurskoðunarferli
Tölvustillingar > Reglur > Stjórnunarsniðmát > Kerfi > Búa til endurskoðunarferli > Taka með skipanalínu í vinnsluferli
Þegar þær hafa verið virkjaðar leyfa InTrust reglur þér að greina áður óþekktar ógnir sem sýna grunsamlega hegðun. Til dæmis er hægt að bera kennsl á
Í aðgerðakeðju sinni notar Dridex schtasks.exe til að búa til áætlað verkefni. Að nota þetta tiltekna tól frá skipanalínunni er talin mjög grunsamleg hegðun; að ræsa svchost.exe með breytum sem vísa á notendamöppur eða með breytum svipaðar "net view" eða "whoami" skipunum lítur svipað út. Hér er brot af samsvarandi
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
Í InTrust er öll grunsamleg hegðun innifalin í einni reglu, vegna þess að flestar þessar aðgerðir eru ekki sértækar fyrir tiltekna ógn, heldur eru þær grunsamlegar í flóknu og í 99% tilvika eru þær notaðar í ekki alveg göfugum tilgangi. Þessi listi yfir aðgerðir inniheldur, en takmarkast ekki við:
- Ferlar sem keyra frá óvenjulegum stöðum, svo sem tímabundnum möppum notenda.
- Vel þekkt kerfisferli með grunsamlegum erfðum - sumar ógnir gætu reynt að nota nafn kerfisferla til að vera óuppgötvuð.
- Grunsamlegar framkvæmdir á stjórnunarverkfærum eins og cmd eða PsExec þegar þau nota staðbundin kerfisskilríki eða grunsamlega arfleifð.
- Grunsamlegar skuggaafritunaraðgerðir eru algeng hegðun lausnarhugbúnaðarvírusa áður en kerfi er dulkóðað; þær drepa afrit:
— Í gegnum vssadmin.exe;
- Í gegnum WMI. - Skráðu sorphauga af heilum skráningarofnum.
- Lárétt hreyfing skaðlegs kóða þegar ferli er fjarlægt með því að nota skipanir eins og at.exe.
- Grunsamlegar staðbundnar hópaðgerðir og lénsaðgerðir með net.exe.
- Grunsamleg eldveggvirkni með netsh.exe.
- Grunsamleg meðferð á ACL.
- Notkun BITS fyrir gagnasíun.
- Grunsamlegar meðferðir með WMI.
- Grunsamlegar handritsskipanir.
- Tilraunir til að henda öruggum kerfisskrám.
Samsett reglan virkar mjög vel til að greina ógnir eins og RUYK, LockerGoga og annan lausnarhugbúnað, spilliforrit og netglæpaverkfærasett. Reglan hefur verið prófuð af seljanda í framleiðsluumhverfi til að lágmarka rangar jákvæðar niðurstöður. Og þökk sé SIGMA verkefninu, framleiða flestir þessara vísbendinga lágmarks fjölda hávaðaviðburða.
Vegna þess að Í InTrust er þetta vöktunarregla, þú getur framkvæmt svarskrift sem viðbrögð við ógn. Þú getur notað eitt af innbyggðu forskriftunum eða búið til þitt eigið og InTrust mun dreifa því sjálfkrafa.
Að auki geturðu skoðað allar atburðartengdar fjarmælingar: PowerShell forskriftir, vinnsluferla, skipulagðar verkefnabreytingar, WMI stjórnunaraðgerðir og notað þær fyrir skurðaðgerðir við öryggisatvik.
InTrust hefur hundruð annarra reglna, sumar þeirra:
- Að greina PowerShell niðurfærsluárás er þegar einhver notar vísvitandi eldri útgáfu af PowerShell vegna þess að... í eldri útgáfunni var engin leið að endurskoða hvað var að gerast.
- Innskráningarskynjun með háum forréttindum er þegar reikningar sem eru meðlimir ákveðins forréttindahóps (eins og lénsstjórar) skrá sig inn á vinnustöðvar fyrir slysni eða vegna öryggisatvika.
InTrust gerir þér kleift að nota bestu öryggisvenjur í formi fyrirfram skilgreindra uppgötvunar- og viðbragðsreglna. Og ef þú heldur að eitthvað ætti að virka öðruvísi geturðu búið til þitt eigið afrit af reglunni og stillt hana eftir þörfum. Þú getur sent inn umsókn um að framkvæma flug eða fá dreifingarsett með tímabundnum leyfum í gegnum
Gerast áskrifandi að okkar
Lestu aðrar greinar okkar um upplýsingaöryggi:
Heimild: www.habr.com