Шабуылдардың ең көп тараған түрлерінің бірі - толығымен құрметті процестерде ағашта зиянды процестің уылдырық шашуы. Орындалатын файлға апаратын жол күдікті болуы мүмкін: зиянды бағдарлама жиі AppData немесе Temp қалталарын пайдаланады және бұл заңды бағдарламаларға тән емес. Әділ болу үшін, кейбір автоматты жаңарту утилиталары AppData-да орындалатынын айту керек, сондықтан бағдарламаның зиянды екенін растау үшін іске қосу орнын тексеру жеткіліксіз.
Заңдылықтың қосымша факторы криптографиялық қолтаңба болып табылады: көптеген түпнұсқа бағдарламаларға жеткізуші қол қояды. Күдікті іске қосу элементтерін анықтау әдісі ретінде қолтаңбаның жоқтығы фактісін пайдалануға болады. Бірақ қайтадан өзіне қол қою үшін ұрланған сертификатты пайдаланатын зиянды бағдарлама пайда болады.
Сондай-ақ, MD5 немесе SHA256 криптографиялық хэштерінің мәнін тексеруге болады, ол кейбір бұрын анықталған зиянды бағдарламаларға сәйкес келуі мүмкін. Бағдарламадағы қолтаңбаларды қарап (Yara ережелерін немесе антивирус өнімдерін пайдалану) статикалық талдауды орындауға болады. Сондай-ақ динамикалық талдау (кейбір қауіпсіз ортада бағдарламаны іске қосу және оның әрекеттерін бақылау) және кері инженерия бар.
Зиянды процестің көптеген белгілері болуы мүмкін. Бұл мақалада біз Windows жүйесінде тиісті оқиғаларды тексеруді қалай қосу керектігін айтамыз, біз кірістірілген ережеге негізделген белгілерді талдаймыз. күдікті процесті анықтау. InTrust - бұл әртүрлі шабуылдарға жүздеген алдын ала анықталған реакциялары бар құрылымдалмаған деректерді жинау, талдау және сақтау үшін.
Бағдарлама іске қосылған кезде ол компьютердің жадына жүктеледі. Орындалатын файлда компьютер нұсқаулары мен қолдау көрсететін кітапханалар бар (мысалы, *.dll). Процесс іске қосылғанда, ол қосымша ағындарды жасай алады. Ағындар процеске әртүрлі нұсқаулар жиынын бір уақытта орындауға мүмкіндік береді. Зиянды кодтың жадқа еніп, іске қосылуының көптеген жолдары бар, олардың кейбірін қарастырайық.
Зиянды процесті іске қосудың ең оңай жолы – пайдаланушыны оны тікелей іске қосуға мәжбүрлеу (мысалы, электрондық пошта қосымшасынан), содан кейін оны компьютер қосылған сайын іске қосу үшін RunOnce пернесін пайдаланыңыз. Бұған сонымен қатар триггер негізінде орындалатын тізілім кілттерінде PowerShell сценарийлерін сақтайтын «файлсыз» зиянды бағдарлама кіреді. Бұл жағдайда PowerShell сценарийі зиянды код болып табылады.
Зиянды бағдарламалық қамтамасыз етудің анық жұмыс істеу мәселесі - бұл оңай анықталатын белгілі тәсіл. Кейбір зиянды бағдарламалар жадта орындауды бастау үшін басқа процесті пайдалану сияқты ақылды әрекеттерді жасайды. Сондықтан процесс белгілі бір компьютер нұсқаулығын іске қосу және іске қосу үшін орындалатын файлды (.exe) көрсету арқылы басқа процесті жасай алады.
Файлды толық жол (мысалы, C:Windowssystem32cmd.exe) немесе жартылай жол (мысалы, cmd.exe) арқылы көрсетуге болады. Бастапқы процесс қауіпті болса, ол заңсыз бағдарламаларды іске қосуға мүмкіндік береді. Шабуыл келесідей болуы мүмкін: процесс толық жолды көрсетпей cmd.exe файлын іске қосады, шабуылдаушы өзінің cmd.exe файлын процесс оны заңдыдан бұрын іске қосатындай жерге орналастырады. Зиянды бағдарлама іске қосылғаннан кейін, ол өз кезегінде заңды бағдарламаны (мысалы, C:Windowssystem32cmd.exe) іске қоса алады, осылайша бастапқы бағдарлама дұрыс жұмысын жалғастырады.
Алдыңғы шабуылдың нұсқасы заңды процеске DLL енгізу болып табылады. Процесс басталған кезде оның функционалдығын кеңейтетін кітапханаларды табады және жүктейді. DLL инъекциясын қолдана отырып, шабуылдаушы заңды кітапханамен бірдей атаумен және API интерфейсімен зиянды кітапхана жасайды. Бағдарлама зиянды кітапхананы жүктейді және ол өз кезегінде заңды кітапхананы жүктейді және қажет болған жағдайда оны әрекеттерді орындауға шақырады. Зиянды кітапхана жақсы кітапхана үшін прокси ретінде әрекет ете бастайды.
Зиянды кодты жадқа қоюдың тағы бір жолы - оны қазірдің өзінде жұмыс істеп тұрған қауіпті процесске енгізу. Процестер әртүрлі көздерден енгізуді алады - желіден немесе файлдардан оқу. Олар әдетте енгізудің заңды екенін тексеру үшін тексереді. Бірақ кейбір процестер нұсқауларды орындау кезінде тиісті қорғанысқа ие емес. Бұл шабуылда дискіде кітапхана немесе зиянды кодты қамтитын орындалатын файл жоқ. Барлығы қолданылып жатқан процесспен бірге жадта сақталады.
Енді Windows жүйесінде осындай оқиғаларды жинауды қосу әдістемесін және осындай қауіптерден қорғауды жүзеге асыратын InTrust ережесін қарастырайық. Алдымен оны InTrust басқару консолі арқылы белсендірейік.
Ереже Windows ОЖ процесті бақылау мүмкіндіктерін пайдаланады. Өкінішке орай, мұндай оқиғаларды жинауға мүмкіндік беру анық емес. Өзгерту қажет 3 түрлі Топтық саясат параметрлері бар:
Компьютер конфигурациясы > Саясаттар > Windows параметрлері > Қауіпсіздік параметрлері > Жергілікті саясаттар > Аудит саясаты > Аудит процесін бақылау
Компьютер конфигурациясы > Саясаттар > Windows параметрлері > Қауіпсіздік параметрлері > Кеңейтілген аудит саясаты конфигурациясы > Аудит саясаттары > Егжей-тегжейлі бақылау > Аудит процесін жасау
Компьютер конфигурациясы > Саясат > Әкімшілік үлгілер > Жүйе > Процесті құруды тексеру > Процесті жасау оқиғаларына пәрмен жолын қосу
Қосылғаннан кейін InTrust ережелері күдікті әрекетті көрсететін бұрын белгісіз қауіптерді анықтауға мүмкіндік береді. Мысалы, анықтауға болады Dridex зиянды бағдарламасы. HP Bromium жобасының арқасында біз бұл қауіп қалай жұмыс істейтінін білеміз.
Әрекеттер тізбегінде Dridex жоспарланған тапсырманы жасау үшін schtasks.exe файлын пайдаланады. Пәрмен жолынан осы қызметтік бағдарламаны пайдалану өте күдікті әрекет болып саналады; svchost.exe файлын пайдаланушы қалталарын көрсететін параметрлермен немесе «желі көрініс» немесе «whoami» пәрмендеріне ұқсас параметрлермен іске қосу ұқсас көрінеді. Міне, сәйкес фрагмент :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust-та барлық күдікті мінез-құлық бір ережеге енгізілген, өйткені бұл әрекеттердің көпшілігі белгілі бір қауіпке тән емес, керісінше кешенді түрде күдікті болып табылады және 99% жағдайда толығымен игі мақсатта емес қолданылады. Бұл әрекеттер тізімі мыналарды қамтиды, бірақ олармен шектелмейді:
- Пайдаланушының уақытша қалталары сияқты әдеттен тыс орындардан орындалатын процестер.
- Күдікті мұрасы бар белгілі жүйелік процесс - кейбір қауіптер анықталмау үшін жүйелік процестердің атын пайдалануға тырысуы мүмкін.
- Жергілікті жүйе тіркелгі деректерін немесе күдікті мұраны пайдаланған кезде cmd немесе PsExec сияқты әкімшілік құралдардың күдікті орындалуы.
- Күдікті көлеңкелі көшіру операциялары жүйені шифрлау алдында төлемдік бағдарлама вирустарының әдеттегі әрекеті болып табылады; олар сақтық көшірмелерді жояды:
— vssadmin.exe арқылы;
- WMI арқылы. - Бүкіл тізілім ұяларының үйінділерін тіркеңіз.
- Процесс at.exe сияқты пәрмендерді пайдаланып қашықтан іске қосылған кезде зиянды кодтың көлденең қозғалысы.
- Күдікті жергілікті топ операциялары және net.exe арқылы домен әрекеттері.
- netsh.exe арқылы күдікті брандмауэр әрекеті.
- ACL күдікті манипуляциясы.
- Деректерді эксфильтрациялау үшін BITS пайдалану.
- WMI көмегімен күдікті манипуляциялар.
- Күдікті сценарий командалары.
- Қауіпсіз жүйелік файлдарды шығару әрекеті.
Біріктірілген ереже RUYK, LockerGoga және басқа төлемдік бағдарламалық қамтамасыз ету, зиянды бағдарлама және киберқылмыс құралдары сияқты қауіптерді анықтау үшін өте жақсы жұмыс істейді. Ереже жалған позитивтерді азайту үшін өндіруші орталарда сыналған. Және SIGMA жобасының арқасында бұл көрсеткіштердің көпшілігі шу оқиғаларының ең аз санын тудырады.
Өйткені InTrust жүйесінде бұл бақылау ережесі, қауіпке реакция ретінде жауап сценарийін орындауға болады. Сіз кірістірілген сценарийлердің бірін пайдалана аласыз немесе өзіңізді жасай аласыз және InTrust оны автоматты түрде таратады.
Бұған қоса, оқиғаға қатысты барлық телеметрияны тексеруге болады: PowerShell сценарийлері, процестің орындалуы, жоспарланған тапсырма манипуляциялары, WMI әкімшілік әрекеті және оларды қауіпсіздік оқиғалары кезінде өлгеннен кейінгі зерттеулер үшін пайдалануға болады.
InTrust-та жүздеген басқа ережелер бар, олардың кейбірі:
- PowerShell нұсқасын төмендету шабуылын анықтау біреу PowerShell бағдарламасының ескі нұсқасын әдейі пайдаланса, себебі... ескі нұсқада не болып жатқанын тексеруге мүмкіндік болмады.
- Жоғары артықшылықты жүйеге кіруді анықтау – белгілі бір артықшылықты топтың мүшелері (домен әкімшілері сияқты) тіркелгілер кездейсоқ немесе қауіпсіздік оқиғаларына байланысты жұмыс станцияларына кірген кезде.
InTrust алдын ала анықталған анықтау және реакция ережелері түріндегі ең жақсы қауіпсіздік тәжірибелерін пайдалануға мүмкіндік береді. Ал егер бірдеңе басқаша жұмыс істеуі керек деп ойласаңыз, ереженің өз көшірмесін жасап, қажетінше конфигурациялауға болады. Сіз пилотты жүргізуге немесе уақытша лицензиялары бар тарату жинақтарын алуға өтініш бере аласыз біздің сайтта.
Біздің арнаға жазылыңыз , біз онда қысқа жазбалар мен қызықты сілтемелерді жариялаймыз.
Ақпараттық қауіпсіздік туралы басқа мақалаларымызды оқыңыз:
(танымал мақала)
Ақпарат көзі: www.habr.com