យើងបើកដំណើរការការប្រមូលព្រឹត្តិការណ៍អំពីការចាប់ផ្តើមដំណើរការគួរឱ្យសង្ស័យនៅក្នុង Windows និងកំណត់ការគំរាមកំហែងដោយប្រើ Quest InTrust

ប្រភេទមួយនៃការវាយប្រហារទូទៅបំផុតគឺការបង្កកំណើតនៃដំណើរការព្យាបាទនៅក្នុងមែកធាងក្រោមដំណើរការគួរឱ្យគោរពទាំងស្រុង។ ផ្លូវទៅកាន់ឯកសារដែលអាចប្រតិបត្តិបានអាចជាការសង្ស័យ៖ មេរោគជារឿយៗប្រើ AppData ឬ Temp folders ហើយនេះមិនមែនជាលក្ខណៈធម្មតាសម្រាប់កម្មវិធីស្របច្បាប់នោះទេ។ ដើម្បីឱ្យមានភាពយុត្តិធម៌ វាគឺមានតំលៃនិយាយថាឧបករណ៍ប្រើប្រាស់អាប់ដេតដោយស្វ័យប្រវត្តិមួយចំនួនត្រូវបានប្រតិបត្តិក្នុង AppData ដូច្នេះគ្រាន់តែពិនិត្យមើលទីតាំងចាប់ផ្តើមគឺមិនគ្រប់គ្រាន់ដើម្បីបញ្ជាក់ថាកម្មវិធីមានគំនិតអាក្រក់នោះទេ។

កត្តាបន្ថែមនៃភាពស្របច្បាប់គឺហត្ថលេខាគ្រីបគ្រីប៖ កម្មវិធីដើមជាច្រើនត្រូវបានចុះហត្ថលេខាដោយអ្នកលក់។ អ្នកអាចប្រើការពិតដែលថាមិនមានហត្ថលេខាជាវិធីសាស្រ្តសម្រាប់កំណត់អត្តសញ្ញាណធាតុចាប់ផ្តើមដែលគួរឱ្យសង្ស័យ។ ប៉ុន្តែបន្ទាប់មកម្តងទៀតមានមេរោគដែលប្រើវិញ្ញាបនបត្រលួចដើម្បីចុះហត្ថលេខាដោយខ្លួនឯង។

អ្នកក៏អាចពិនិត្យមើលតម្លៃនៃ MD5 ឬ SHA256 កូដសម្ងាត់ដែលអាចឆ្លើយតបទៅនឹងមេរោគដែលបានរកឃើញពីមុនមួយចំនួន។ អ្នកអាចធ្វើការវិភាគឋិតិវន្តដោយមើលហត្ថលេខានៅក្នុងកម្មវិធី (ដោយប្រើច្បាប់ Yara ឬផលិតផលកំចាត់មេរោគ)។ វាក៏មានការវិភាគថាមវន្តផងដែរ (ដំណើរការកម្មវិធីក្នុងបរិយាកាសសុវត្ថិភាពមួយចំនួន និងតាមដានសកម្មភាពរបស់វា) និងវិស្វកម្មបញ្ច្រាស។

វាអាចមានសញ្ញាជាច្រើននៃដំណើរការព្យាបាទ។ នៅក្នុងអត្ថបទនេះ យើងនឹងប្រាប់អ្នកពីរបៀបបើកដំណើរការសវនកម្មនៃព្រឹត្តិការណ៍ដែលពាក់ព័ន្ធនៅក្នុង Windows យើងនឹងវិភាគសញ្ញាដែលច្បាប់ដែលភ្ជាប់មកជាមួយពឹងផ្អែកលើ ទំនុកចិត្ត ដើម្បីកំណត់អត្តសញ្ញាណដំណើរការគួរឱ្យសង្ស័យ។ InTrust គឺ វេទិកា CLM សម្រាប់ការប្រមូល វិភាគ និងរក្សាទុកទិន្នន័យដែលមិនមានរចនាសម្ព័ន្ធ ដែលមានប្រតិកម្មកំណត់ជាមុនរាប់រយរួចទៅហើយចំពោះប្រភេទផ្សេងៗនៃការវាយប្រហារ។

នៅពេលដែលកម្មវិធីត្រូវបានចាប់ផ្តើម វាត្រូវបានផ្ទុកទៅក្នុងអង្គចងចាំរបស់កុំព្យូទ័រ។ ឯកសារដែលអាចប្រតិបត្តិបានមានការណែនាំកុំព្យូទ័រ និងបណ្ណាល័យដែលគាំទ្រ (ឧទាហរណ៍ *.dll)។ នៅពេលដែលដំណើរការកំពុងដំណើរការរួចហើយ វាអាចបង្កើតខ្សែស្រឡាយបន្ថែម។ Threads អនុញ្ញាតឱ្យដំណើរការមួយដើម្បីប្រតិបត្តិសំណុំនៃការណែនាំផ្សេងៗគ្នាក្នុងពេលដំណាលគ្នា។ មានវិធីជាច្រើនសម្រាប់កូដព្យាបាទដើម្បីជ្រាបចូលទៅក្នុងអង្គចងចាំ ហើយដំណើរការ សូមក្រឡេកមើលពួកវាខ្លះ។

មធ្យោបាយងាយស្រួលបំផុតដើម្បីចាប់ផ្តើមដំណើរការព្យាបាទគឺបង្ខំអ្នកប្រើប្រាស់ឱ្យបើកដំណើរការវាដោយផ្ទាល់ (ឧទាហរណ៍ ពីឯកសារភ្ជាប់អ៊ីមែល) បន្ទាប់មកប្រើគ្រាប់ចុច RunOnce ដើម្បីបើកដំណើរការវារាល់ពេលដែលកុំព្យូទ័របើក។ នេះក៏រួមបញ្ចូលផងដែរនូវមេរោគ “គ្មានឯកសារ” ដែលរក្សាទុកស្គ្រីប PowerShell នៅក្នុងសោចុះបញ្ជីដែលត្រូវបានប្រតិបត្តិដោយផ្អែកលើកេះ។ ក្នុងករណីនេះ ស្គ្រីប PowerShell គឺជាកូដព្យាបាទ។

បញ្ហាជាមួយមេរោគដែលកំពុងដំណើរការយ៉ាងច្បាស់គឺថាវាគឺជាវិធីសាស្រ្តដែលគេស្គាល់ដែលងាយរកឃើញ។ មេរោគមួយចំនួនធ្វើរឿងកាន់តែឆ្លាតជាងមុន ដូចជាការប្រើប្រាស់ដំណើរការផ្សេងទៀតដើម្បីចាប់ផ្តើមដំណើរការនៅក្នុងអង្គចងចាំ។ ដូច្នេះ ដំណើរការមួយអាចបង្កើតដំណើរការមួយផ្សេងទៀតដោយដំណើរការការណែនាំកុំព្យូទ័រជាក់លាក់ និងបញ្ជាក់ឯកសារដែលអាចប្រតិបត្តិបាន (.exe) ដើម្បីដំណើរការ។

ឯកសារអាចត្រូវបានបញ្ជាក់ដោយប្រើផ្លូវពេញ (ឧទាហរណ៍ C:Windowssystem32cmd.exe) ឬផ្លូវមួយផ្នែក (ឧទាហរណ៍ cmd.exe)។ ប្រសិនបើដំណើរការដើមមិនមានសុវត្ថិភាព វានឹងអនុញ្ញាតឱ្យកម្មវិធីមិនស្របច្បាប់ដំណើរការ។ ការវាយប្រហារអាចមើលទៅដូចនេះ៖ ដំណើរការបើកដំណើរការ cmd.exe ដោយមិនបញ្ជាក់ផ្លូវពេញលេញ អ្នកវាយប្រហារដាក់ cmd.exe របស់គាត់នៅកន្លែងមួយ ដើម្បីឱ្យដំណើរការបើកដំណើរការវាមុនពេលដែលស្របច្បាប់។ នៅពេលដែលមេរោគដំណើរការ វាអាចបើកដំណើរការកម្មវិធីស្របច្បាប់ (ដូចជា C:Windowssystem32cmd.exe) ដើម្បីឱ្យកម្មវិធីដើមបន្តដំណើរការបានត្រឹមត្រូវ។

បំរែបំរួលនៃការវាយប្រហារមុនគឺការចាក់ DLL ទៅក្នុងដំណើរការស្របច្បាប់។ នៅពេលដំណើរការចាប់ផ្តើម វាស្វែងរក និងផ្ទុកបណ្ណាល័យដែលពង្រីកមុខងាររបស់វា។ ដោយប្រើការចាក់ DLL អ្នកវាយប្រហារបង្កើតបណ្ណាល័យព្យាបាទដែលមានឈ្មោះដូចគ្នា និង API ជាឯកសារស្របច្បាប់។ កម្មវិធីនេះផ្ទុកបណ្ណាល័យព្យាបាទ ហើយវាផ្ទុកឯកសារស្របច្បាប់ ហើយតាមការចាំបាច់ ហៅវាឱ្យធ្វើប្រតិបត្តិការ។ បណ្ណាល័យព្យាបាទចាប់ផ្តើមដើរតួជាប្រូកស៊ីសម្រាប់បណ្ណាល័យល្អ។

វិធីមួយទៀតដើម្បីដាក់កូដព្យាបាទទៅក្នុងអង្គចងចាំគឺបញ្ចូលវាទៅក្នុងដំណើរការដែលមិនមានសុវត្ថិភាពដែលកំពុងដំណើរការរួចហើយ។ ដំណើរការទទួលការបញ្ចូលពីប្រភពផ្សេងៗ - ការអានពីបណ្តាញ ឬឯកសារ។ ជាធម្មតាពួកគេធ្វើការត្រួតពិនិត្យដើម្បីធានាថាការបញ្ចូលគឺស្របច្បាប់។ ប៉ុន្តែដំណើរការខ្លះមិនមានការការពារត្រឹមត្រូវនៅពេលប្រតិបត្តិសេចក្តីណែនាំ។ នៅក្នុងការវាយប្រហារនេះ មិនមានបណ្ណាល័យនៅលើថាស ឬឯកសារដែលអាចប្រតិបត្តិបានដែលមានកូដព្យាបាទទេ។ អ្វីៗទាំងអស់ត្រូវបានរក្សាទុកក្នុងអង្គចងចាំ រួមជាមួយនឹងដំណើរការដែលត្រូវបានកេងប្រវ័ញ្ច។

ឥឡូវនេះ សូមក្រឡេកមើលវិធីសាស្រ្តសម្រាប់បើកដំណើរការការប្រមូលព្រឹត្តិការណ៍បែបនេះនៅក្នុង Windows និងច្បាប់នៅក្នុង InTrust ដែលអនុវត្តការការពារប្រឆាំងនឹងការគំរាមកំហែងបែបនេះ។ ជាដំបូង សូមបើកដំណើរការវាតាមរយៈកុងសូលគ្រប់គ្រង InTrust។

ច្បាប់ប្រើប្រាស់សមត្ថភាពតាមដានដំណើរការរបស់ Windows OS ។ ជាអកុសល ការអនុញ្ញាតឱ្យប្រមូលព្រឹត្តិការណ៍បែបនេះគឺនៅឆ្ងាយពីជាក់ស្តែង។ មានការកំណត់គោលការណ៍ក្រុមចំនួន 3 ផ្សេងគ្នាដែលអ្នកត្រូវផ្លាស់ប្តូរ៖

ការកំណត់រចនាសម្ព័ន្ធកុំព្យូទ័រ> គោលការណ៍> ការកំណត់វីនដូ> ការកំណត់សុវត្ថិភាព> គោលនយោបាយមូលដ្ឋាន> គោលការណ៍សវនកម្ម> តាមដានដំណើរការសវនកម្ម

ការកំណត់រចនាសម្ព័ន្ធកុំព្យូទ័រ > គោលការណ៍ > ការកំណត់វីនដូ > ការកំណត់សុវត្ថិភាព > ការកំណត់រចនាសម្ព័ន្ធគោលនយោបាយសវនកម្មកម្រិតខ្ពស់ > គោលនយោបាយសវនកម្ម > ការតាមដានលម្អិត > ការបង្កើតដំណើរការសវនកម្ម

ការកំណត់រចនាសម្ព័ន្ធកុំព្យូទ័រ > គោលការណ៍ > គំរូរដ្ឋបាល > ប្រព័ន្ធ > ការបង្កើតដំណើរការសវនកម្ម > រួមបញ្ចូលបន្ទាត់ពាក្យបញ្ជានៅក្នុងព្រឹត្តិការណ៍បង្កើតដំណើរការ

នៅពេលបើកដំណើរការ ច្បាប់ InTrust អនុញ្ញាតឱ្យអ្នករកឃើញការគំរាមកំហែងដែលមិនស្គាល់ពីមុន ដែលបង្ហាញអាកប្បកិរិយាគួរឱ្យសង្ស័យ។ ឧទាហរណ៍អ្នកអាចកំណត់អត្តសញ្ញាណ បានពិពណ៌នានៅទីនេះ មេរោគ Dridex ។ សូមអរគុណចំពោះគម្រោង HP Bromium យើងដឹងពីរបៀបដែលការគំរាមកំហែងនេះដំណើរការ។

នៅក្នុងខ្សែសង្វាក់សកម្មភាពរបស់វា Dridex ប្រើ schtasks.exe ដើម្បីបង្កើតកិច្ចការដែលបានកំណត់ពេល។ ការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ពិសេសនេះពីបន្ទាត់ពាក្យបញ្ជាត្រូវបានចាត់ទុកថាជាអាកប្បកិរិយាគួរឱ្យសង្ស័យ ការបើកដំណើរការ svchost.exe ជាមួយនឹងប៉ារ៉ាម៉ែត្រដែលចង្អុលទៅថតអ្នកប្រើប្រាស់ ឬជាមួយប៉ារ៉ាម៉ែត្រស្រដៀងនឹងពាក្យបញ្ជា "ទិដ្ឋភាពសុទ្ធ" ឬ "whoami" មើលទៅស្រដៀងគ្នា។ នេះគឺជាបំណែកនៃផ្នែកដែលត្រូវគ្នា។ ច្បាប់ SIGMA:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

នៅក្នុង InTrust អាកប្បកិរិយាគួរឱ្យសង្ស័យទាំងអស់ត្រូវបានរួមបញ្ចូលនៅក្នុងច្បាប់មួយ ពីព្រោះសកម្មភាពទាំងនេះភាគច្រើនមិនជាក់លាក់ចំពោះការគំរាមកំហែងជាក់លាក់មួយ ប៉ុន្តែជាការគួរឱ្យសង្ស័យនៅក្នុងភាពស្មុគស្មាញមួយ ហើយក្នុង 99% នៃករណីត្រូវបានប្រើប្រាស់សម្រាប់គោលបំណងដ៏ថ្លៃថ្នូទាំងស្រុង។ បញ្ជីសកម្មភាពនេះរួមបញ្ចូល ប៉ុន្តែមិនកំណត់ចំពោះ៖

• ដំណើរការដំណើរការពីទីតាំងមិនធម្មតា ដូចជាថតបណ្តោះអាសន្នរបស់អ្នកប្រើប្រាស់។
• ដំណើរការប្រព័ន្ធល្បីជាមួយនឹងមរតកគួរឱ្យសង្ស័យ - ការគំរាមកំហែងខ្លះអាចព្យាយាមប្រើឈ្មោះនៃដំណើរការប្រព័ន្ធដើម្បីនៅតែមិនអាចរកឃើញ។
• ការប្រតិបត្តិគួរឱ្យសង្ស័យនៃឧបករណ៍រដ្ឋបាលដូចជា cmd ឬ PsExec នៅពេលពួកគេប្រើព័ត៌មានសម្ងាត់ប្រព័ន្ធមូលដ្ឋាន ឬមរតកដែលគួរឱ្យសង្ស័យ។
• ប្រតិបត្តិការចម្លងស្រមោលគួរឱ្យសង្ស័យ គឺជាឥរិយាបថទូទៅនៃមេរោគ ransomware មុនពេលអ៊ិនគ្រីបប្រព័ន្ធ ពួកវាសម្លាប់ការបម្រុងទុក៖

  - តាមរយៈ vssadmin.exe;
  - តាមរយៈ WMI ។

• ចុះឈ្មោះបោះចោលនៃកន្ទួលកហមចុះបញ្ជីទាំងមូល។
• ចលនាផ្តេកនៃកូដព្យាបាទ នៅពេលដំណើរការត្រូវបានចាប់ផ្តើមពីចម្ងាយដោយប្រើពាក្យបញ្ជាដូចជា at.exe ។
• ប្រតិបត្តិការក្រុមក្នុងតំបន់គួរឱ្យសង្ស័យ និងប្រតិបត្តិការដែនដោយប្រើ net.exe ។
• សកម្មភាពជញ្ជាំងភ្លើងគួរឱ្យសង្ស័យដោយប្រើ netsh.exe ។
• ឧបាយកលគួរឱ្យសង្ស័យនៃ ACL ។
• ការប្រើប្រាស់ BITS សម្រាប់ការស្រង់ទិន្នន័យ។
• ឧបាយកលគួរឱ្យសង្ស័យជាមួយ WMI ។
• ពាក្យបញ្ជាស្គ្រីបគួរឱ្យសង្ស័យ។
• ការប៉ុនប៉ងដើម្បីបោះចោលឯកសារប្រព័ន្ធសុវត្ថិភាព។

ច្បាប់រួមបញ្ចូលគ្នាដំណើរការបានយ៉ាងល្អក្នុងការស្វែងរកការគំរាមកំហែងដូចជា RUYK, LockerGoga និង ransomware ផ្សេងទៀត មេរោគ និងកញ្ចប់ឧបករណ៍ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ ច្បាប់នេះត្រូវបានសាកល្បងដោយអ្នកលក់នៅក្នុងបរិយាកាសផលិតកម្ម ដើម្បីកាត់បន្ថយភាពវិជ្ជមានមិនពិត។ ហើយអរគុណចំពោះគម្រោង SIGMA សូចនាករទាំងនេះភាគច្រើនបង្កើតបាននូវព្រឹត្តិការណ៍សំលេងរំខានតិចតួចបំផុត។

ដោយសារតែ នៅក្នុង InTrust នេះគឺជាច្បាប់ត្រួតពិនិត្យ អ្នកអាចប្រតិបត្តិស្គ្រីបឆ្លើយតបជាប្រតិកម្មទៅនឹងការគំរាមកំហែង។ អ្នក​អាច​ប្រើ​ស្គ្រីប​ដែល​បាន​ភ្ជាប់​មក​ជាមួយ​មួយ ឬ​បង្កើត​ដោយ​ខ្លួន​ឯង ហើយ InTrust នឹង​ចែកចាយ​វា​ដោយ​ស្វ័យ​ប្រវត្តិ។

លើសពីនេះទៀត អ្នកអាចពិនិត្យមើលតេឡេម៉ែត្រដែលទាក់ទងនឹងព្រឹត្តិការណ៍ទាំងអស់៖ ស្គ្រីប PowerShell ដំណើរការដំណើរការ ការរៀបចំកិច្ចការដែលបានកំណត់ពេល សកម្មភាពរដ្ឋបាល WMI និងប្រើពួកវាសម្រាប់ការធ្វើកោសល្យវិច័យក្នុងអំឡុងពេលឧប្បត្តិហេតុសុវត្ថិភាព។

InTrust មានច្បាប់រាប់រយផ្សេងទៀត ដែលមួយចំនួនក្នុងចំណោមពួកគេ៖

• ការរកឃើញការវាយប្រហារទម្លាក់ចំណាត់ថ្នាក់ PowerShell គឺនៅពេលដែលនរណាម្នាក់ប្រើ PowerShell កំណែចាស់ដោយចេតនាដោយសារតែ ... នៅក្នុងកំណែចាស់មិនមានវិធីដើម្បីធ្វើសវនកម្មនូវអ្វីដែលកំពុងកើតឡើងនោះទេ។
• ការរកឃើញការចូលដែលមានសិទ្ធិខ្ពស់គឺនៅពេលដែលគណនីដែលជាសមាជិកនៃក្រុមដែលមានសិទ្ធិជាក់លាក់មួយ (ដូចជាអ្នកគ្រប់គ្រងដែន) ចូលទៅកាន់ស្ថានីយការងារដោយចៃដន្យ ឬដោយសារឧប្បត្តិហេតុសុវត្ថិភាព។

InTrust អនុញ្ញាតឱ្យអ្នកប្រើការអនុវត្តសុវត្ថិភាពល្អបំផុតក្នុងទម្រង់នៃការរកឃើញ និងច្បាប់ឆ្លើយតបដែលបានកំណត់ជាមុន។ ហើយប្រសិនបើអ្នកគិតថាអ្វីមួយគួរតែដំណើរការខុសគ្នា អ្នកអាចបង្កើតច្បាប់ចម្លងដោយខ្លួនឯង ហើយកំណត់រចនាសម្ព័ន្ធវាតាមតម្រូវការ។ អ្នកអាចដាក់សំណើសម្រាប់ដឹកនាំអ្នកបើកបរ ឬទទួលបានឧបករណ៍ចែកចាយដែលមានអាជ្ញាប័ណ្ណបណ្តោះអាសន្នតាមរយៈ ទម្រង់មតិត្រឡប់ នៅលើគេហទំព័ររបស់យើង។

ជាវប្រចាំរបស់យើង។ ទំព័រហ្វេសប៊ុកយើងបោះផ្សាយកំណត់ចំណាំខ្លីៗ និងតំណភ្ជាប់គួរឱ្យចាប់អារម្មណ៍នៅទីនោះ។

សូមអានអត្ថបទផ្សេងទៀតរបស់យើងស្តីពីសុវត្ថិភាពព័ត៌មាន៖

របៀបដែល InTrust អាចជួយកាត់បន្ថយអត្រានៃការប៉ុនប៉ងអនុញ្ញាតដែលបរាជ័យតាមរយៈ RDP

យើងរកឃើញការវាយប្រហារ ransomware ចូលប្រើឧបករណ៍បញ្ជាដែន និងព្យាយាមទប់ទល់នឹងការវាយប្រហារទាំងនេះ

តើអ្វីដែលមានប្រយោជន៍អាចត្រូវបានស្រង់ចេញពីកំណត់ហេតុនៃស្ថានីយការងារដែលមានមូលដ្ឋានលើវីនដូ? (អត្ថបទពេញនិយម)

តាមដានវដ្តជីវិតរបស់អ្នកប្រើប្រាស់ដោយគ្មានដង្កៀប ឬកាសែតបំពង់

តើអ្នកណាបានធ្វើ? យើងធ្វើសវនកម្មសុវត្ថិភាពព័ត៌មានដោយស្វ័យប្រវត្តិ

របៀបកាត់បន្ថយថ្លៃដើមនៃភាពជាម្ចាស់នៃប្រព័ន្ធ SIEM និងហេតុអ្វីបានជាអ្នកត្រូវការ Central Log Management (CLM)

ប្រភព: www.habr.com