Salah sawijining jinis serangan sing paling umum yaiku ngasilake proses ala ing wit ing proses sing dihormati. Path menyang file eksekusi bisa uga curiga: malware asring nggunakake folder AppData utawa Temp, lan iki ora khas kanggo program sing sah. Supaya adil, kudu dikandhakake manawa sawetara utilitas nganyari otomatis dieksekusi ing AppData, mula mung mriksa lokasi peluncuran ora cukup kanggo ngonfirmasi manawa program kasebut mbebayani.
Faktor tambahan legitimasi yaiku tandha kriptografi: akeh program asli sing ditandatangani dening vendor. Sampeyan bisa nggunakake kasunyatan sing ora ana tandha minangka cara kanggo ngenali item wiwitan curiga. Nanging maneh ana malware sing nggunakake sertifikat sing dicolong kanggo mlebu.
Sampeyan uga bisa mriksa nilai hash kriptografi MD5 utawa SHA256, sing bisa uga cocog karo sawetara malware sing wis dideteksi sadurunge. Sampeyan bisa nindakake analisis statis kanthi ndeleng tandha ing program kasebut (nggunakake aturan Yara utawa produk antivirus). Ana uga analisis dinamis (nglakokake program ing sawetara lingkungan aman lan ngawasi tumindake) lan reverse engineering.
Ana akeh pratandha saka proses angkoro. Ing artikel iki, kita bakal menehi pitutur marang kowe carane ngaktifake audit acara sing relevan ing Windows, kita bakal nganalisa pratandha yen aturan sing dibangun gumantung kanggo ngenali proses curiga. InTrust punika kanggo ngumpulake, nganalisa lan nyimpen data unstructured, kang wis atusan reaksi wis disetel kanggo macem-macem jinis serangan.
Nalika program dibukak, iku dimuat menyang memori komputer. File eksekusi ngemot instruksi komputer lan perpustakaan sing ndhukung (contone, *.dll). Nalika proses wis mlaku, bisa nggawe thread tambahan. Utas ngidini proses nglakokake macem-macem set instruksi bebarengan. Ana akeh cara kanggo kode angkoro nembus memori lan mbukak, ayo kang katon ing sawetara.
Cara paling gampang kanggo miwiti proses angkoro yaiku meksa pangguna supaya mbukak langsung (contone, saka lampiran email), banjur gunakake tombol RunOnce kanggo miwiti saben komputer diuripake. Iki uga kalebu malware "tanpa file" sing nyimpen skrip PowerShell ing kunci registri sing dieksekusi adhedhasar pemicu. Ing kasus iki, skrip PowerShell minangka kode ala.
Masalah karo malware sing mlaku kanthi jelas yaiku pendekatan sing dikenal sing gampang dideteksi. Sawetara malware nindakake perkara sing luwih pinter, kayata nggunakake proses liyane kanggo miwiti ngeksekusi ing memori. Mulane, proses bisa nggawe proses liyane kanthi mbukak instruksi komputer tartamtu lan nemtokake file eksekusi (.exe) kanggo mbukak.
File bisa ditemtokake nggunakake path lengkap (contone, C:Windowssystem32cmd.exe) utawa path parsial (contone, cmd.exe). Yen proses asli ora aman, bakal ngidini program sing ora sah bisa ditindakake. Serangan bisa katon kaya mangkene: proses mbukak cmd.exe tanpa nemtokake path lengkap, panyerang nyelehake cmd.exe ing sawijining panggonan supaya proses kasebut diluncurake sadurunge sing sah. Sawise malware mlaku, bisa uga mbukak program sing sah (kayata C:Windowssystem32cmd.exe) supaya program asline bisa mlaku kanthi bener.
Variasi saka serangan sadurunge yaiku injeksi DLL menyang proses sing sah. Nalika proses diwiwiti, bakal nemokake lan mbukak perpustakaan sing nambah fungsine. Nggunakake injeksi DLL, panyerang nggawe perpustakaan angkoro kanthi jeneng lan API sing padha karo sing sah. Program kasebut ngemot perpustakaan sing ala, lan uga ngemot perpustakaan sing sah, lan, yen perlu, nelpon kanggo nindakake operasi. Perpustakaan angkoro wiwit tumindak minangka proxy kanggo perpustakaan apik.
Cara liya kanggo nglebokake kode ala menyang memori yaiku nglebokake menyang proses sing ora aman sing wis mlaku. Proses nampa input saka macem-macem sumber - maca saka jaringan utawa file. Biasane nindakake mriksa kanggo mesthekake yen input sah. Nanging sawetara proses ora duwe proteksi sing tepat nalika nglakokake instruksi. Ing serangan kasebut, ora ana perpustakaan ing disk utawa file eksekusi sing ngemot kode ala. Kabeh disimpen ing memori bebarengan karo proses sing dieksploitasi.
Saiki ayo goleki metodologi kanggo ngaktifake koleksi acara kasebut ing Windows lan aturan ing InTrust sing ngetrapake proteksi marang ancaman kasebut. Pisanan, ayo aktifake liwat konsol manajemen InTrust.
Aturan kasebut nggunakake kemampuan nglacak proses Windows OS. Sayange, mbisakake koleksi acara kasebut ora jelas. Ana 3 setelan Kebijakan Grup sing kudu diganti:
Konfigurasi Komputer > Kabijakan > Setelan Windows > Setelan Keamanan > Kabijakan Lokal > Kabijakan Audit > Pelacakan proses audit
Konfigurasi Komputer > Kabijakan > Setelan Windows > Setelan Keamanan > Konfigurasi Kabijakan Audit Lanjut > Kabijakan Audit > Pelacakan Detil > Nggawe proses audit
Konfigurasi Komputer > Kawicaksanan > Cithakan Administratif > Sistem > Nggawe Proses Audit > Kalebu baris perintah ing acara nggawe proses
Sawise diaktifake, aturan InTrust ngidini sampeyan ndeteksi ancaman sadurunge ora dingerteni sing nuduhake prilaku curiga. Contone, sampeyan bisa ngenali malware Dridex. Thanks kanggo proyek HP Bromium, kita ngerti kepiye ancaman iki.
Ing rantai tumindak, Dridex nggunakake schtasks.exe kanggo nggawe tugas sing wis dijadwal. Nggunakake utilitas tartamtu saka baris perintah iki dianggep minangka prilaku sing curiga; ngluncurake svchost.exe kanthi paramèter sing nuding folder pangguna utawa kanthi paramèter sing padha karo "tampilan net" utawa "whoami" printah katon padha. Punika pecahan saka cocog :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themIng InTrust, kabeh prilaku curiga kalebu ing siji aturan, amarga umume tumindak kasebut ora spesifik kanggo ancaman tartamtu, nanging curiga ing kompleks lan ing 99% kasus digunakake kanggo tujuan sing ora sakabehe mulya. Dhaptar tumindak iki kalebu, nanging ora winates ing:
- Proses mlaku saka lokasi sing ora biasa, kayata folder sementara pangguna.
- Proses sistem sing kondhang kanthi warisan sing curiga - sawetara ancaman bisa uga nyoba nggunakake jeneng proses sistem supaya ora bisa dideteksi.
- Eksekusi alat administratif sing curiga kayata cmd utawa PsExec nalika nggunakake kredensial sistem lokal utawa warisan sing curiga.
- Operasi salinan bayangan sing curiga minangka prilaku umum virus ransomware sadurunge ngenkripsi sistem; padha mateni serep:
- Liwat vssadmin.exe;
- Liwat WMI. - Register dumps kabeh hives pendaptaran.
- Gerakan horisontal kode angkoro nalika proses diluncurake saka jarak jauh nggunakake printah kayata at.exe.
- Operasi grup lokal sing curiga lan operasi domain nggunakake net.exe.
- Aktivitas firewall sing curiga nggunakake netsh.exe.
- Manipulasi curiga saka ACL.
- Nggunakake BITS kanggo exfiltration data.
- Manipulasi curiga karo WMI.
- Printah script curiga.
- Nyoba kanggo mbucal file sistem aman.
Aturan gabungan bisa digunakake kanthi apik kanggo ndeteksi ancaman kayata RUYK, LockerGoga lan piranti tebusan, malware lan cybercrime liyane. Aturan kasebut wis diuji dening vendor ing lingkungan produksi kanggo nyilikake positip palsu. Lan amarga proyek SIGMA, umume indikator kasebut ngasilake minimal acara gangguan.
Amarga Ing InTrust iki minangka aturan ngawasi, sampeyan bisa nglakokake skrip respon minangka reaksi marang ancaman. Sampeyan bisa nggunakake salah sawijining skrip sing dibangun utawa nggawe dhewe lan InTrust bakal nyebarake kanthi otomatis.
Kajaba iku, sampeyan bisa mriksa kabeh telemetri sing gegandhengan karo acara: skrip PowerShell, eksekusi proses, manipulasi tugas sing dijadwalake, kegiatan administratif WMI, lan digunakake kanggo post-mortem nalika kedadeyan keamanan.
InTrust duwe atusan aturan liyane, sawetara:
- Ndeteksi serangan downgrade PowerShell yaiku nalika ana wong kanthi sengaja nggunakake versi PowerShell sing lawas amarga... ing versi lawas ora ana cara kanggo audit apa iki kedados.
- Deteksi logon kanthi hak istimewa yaiku nalika akun sing dadi anggota klompok khusus tartamtu (kayata administrator domain) mlebu menyang stasiun kerja kanthi ora sengaja utawa amarga kedadeyan keamanan.
InTrust ngidini sampeyan nggunakake praktik keamanan paling apik ing wangun aturan deteksi lan respon sing wis ditemtokake. Lan yen sampeyan mikir sing soko kudu bisa beda, sampeyan bisa nggawe salinan dhewe saka aturan lan ngatur minangka needed. Sampeyan bisa ngirim aplikasi kanggo nindakake pilot utawa njupuk kit distribusi karo lisensi sauntara liwat ing situs web kita
Langganan kita , kita nerbitakΓ© cathetan singkat lan pranala menarik ana.
Waca artikel liyane babagan keamanan informasi:
(artikel populer)
Source: www.habr.com