ಸಂಪೂರ್ಣ ಗೌರವಾನ್ವಿತ ಪ್ರಕ್ರಿಯೆಗಳ ಅಡಿಯಲ್ಲಿ ಮರದಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಕ್ರಿಯೆಯ ಮೊಟ್ಟೆಯಿಡುವುದು ಸಾಮಾನ್ಯ ರೀತಿಯ ದಾಳಿಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗೆ ಮಾರ್ಗವು ಅನುಮಾನಾಸ್ಪದವಾಗಿರಬಹುದು: ಮಾಲ್ವೇರ್ ಹೆಚ್ಚಾಗಿ AppData ಅಥವಾ ಟೆಂಪ್ ಫೋಲ್ಡರ್ಗಳನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಇದು ಕಾನೂನುಬದ್ಧ ಪ್ರೋಗ್ರಾಂಗಳಿಗೆ ವಿಶಿಷ್ಟವಲ್ಲ. ನ್ಯಾಯೋಚಿತವಾಗಿ, AppData ನಲ್ಲಿ ಕೆಲವು ಸ್ವಯಂಚಾಲಿತ ನವೀಕರಣ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗಿದೆ ಎಂದು ಹೇಳುವುದು ಯೋಗ್ಯವಾಗಿದೆ, ಆದ್ದರಿಂದ ಪ್ರೋಗ್ರಾಂ ದುರುದ್ದೇಶಪೂರಿತವಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಲು ಉಡಾವಣಾ ಸ್ಥಳವನ್ನು ಪರಿಶೀಲಿಸುವುದು ಸಾಕಾಗುವುದಿಲ್ಲ.
ಕಾನೂನುಬದ್ಧತೆಯ ಹೆಚ್ಚುವರಿ ಅಂಶವೆಂದರೆ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಸಹಿ: ಅನೇಕ ಮೂಲ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಮಾರಾಟಗಾರರಿಂದ ಸಹಿ ಮಾಡಲಾಗಿದೆ. ಅನುಮಾನಾಸ್ಪದ ಆರಂಭಿಕ ಐಟಂಗಳನ್ನು ಗುರುತಿಸುವ ವಿಧಾನವಾಗಿ ಯಾವುದೇ ಸಹಿ ಇಲ್ಲ ಎಂಬ ಅಂಶವನ್ನು ನೀವು ಬಳಸಬಹುದು. ಆದರೆ ನಂತರ ಮತ್ತೆ ಮಾಲ್ವೇರ್ ಇದೆ ಅದು ಸ್ವತಃ ಸಹಿ ಮಾಡಲು ಕದ್ದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸುತ್ತದೆ.
ನೀವು MD5 ಅಥವಾ SHA256 ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಹ್ಯಾಶ್ಗಳ ಮೌಲ್ಯವನ್ನು ಸಹ ಪರಿಶೀಲಿಸಬಹುದು, ಇದು ಹಿಂದೆ ಪತ್ತೆಯಾದ ಕೆಲವು ಮಾಲ್ವೇರ್ಗಳಿಗೆ ಹೊಂದಿಕೆಯಾಗಬಹುದು. ಪ್ರೋಗ್ರಾಂನಲ್ಲಿ ಸಹಿಗಳನ್ನು ನೋಡುವ ಮೂಲಕ ನೀವು ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಮಾಡಬಹುದು (ಯಾರಾ ನಿಯಮಗಳು ಅಥವಾ ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳನ್ನು ಬಳಸಿ). ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ (ಕೆಲವು ಸುರಕ್ಷಿತ ಪರಿಸರದಲ್ಲಿ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ನಡೆಸುವುದು ಮತ್ತು ಅದರ ಕ್ರಿಯೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು) ಮತ್ತು ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್ ಕೂಡ ಇದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಕ್ರಿಯೆಯ ಹಲವು ಚಿಹ್ನೆಗಳು ಇರಬಹುದು. ಈ ಲೇಖನದಲ್ಲಿ ನಾವು ವಿಂಡೋಸ್ನಲ್ಲಿ ಸಂಬಂಧಿತ ಈವೆಂಟ್ಗಳ ಆಡಿಟಿಂಗ್ ಅನ್ನು ಹೇಗೆ ಸಕ್ರಿಯಗೊಳಿಸಬೇಕು ಎಂದು ಹೇಳುತ್ತೇವೆ, ಅಂತರ್ನಿರ್ಮಿತ ನಿಯಮವು ಅವಲಂಬಿಸಿರುವ ಚಿಹ್ನೆಗಳನ್ನು ನಾವು ವಿಶ್ಲೇಷಿಸುತ್ತೇವೆ ಅನುಮಾನಾಸ್ಪದ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಗುರುತಿಸಲು. ಇಂಟ್ರಸ್ಟ್ ಆಗಿದೆ ವಿವಿಧ ರೀತಿಯ ದಾಳಿಗಳಿಗೆ ಈಗಾಗಲೇ ನೂರಾರು ಪೂರ್ವನಿರ್ಧರಿತ ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಹೊಂದಿರುವ ರಚನೆಯಿಲ್ಲದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು, ವಿಶ್ಲೇಷಿಸಲು ಮತ್ತು ಸಂಗ್ರಹಿಸಲು.
ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದಾಗ, ಅದನ್ನು ಕಂಪ್ಯೂಟರ್ನ ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಕಂಪ್ಯೂಟರ್ ಸೂಚನೆಗಳು ಮತ್ತು ಪೋಷಕ ಗ್ರಂಥಾಲಯಗಳನ್ನು ಒಳಗೊಂಡಿದೆ (ಉದಾಹರಣೆಗೆ, *.dll). ಪ್ರಕ್ರಿಯೆಯು ಈಗಾಗಲೇ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ, ಅದು ಹೆಚ್ಚುವರಿ ಎಳೆಗಳನ್ನು ರಚಿಸಬಹುದು. ಥ್ರೆಡ್ಗಳು ಏಕಕಾಲದಲ್ಲಿ ವಿವಿಧ ಸೂಚನೆಗಳ ಸೆಟ್ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಪ್ರಕ್ರಿಯೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಮೆಮೊರಿಯನ್ನು ಭೇದಿಸಲು ಮತ್ತು ಚಲಾಯಿಸಲು ಹಲವು ಮಾರ್ಗಗಳಿವೆ, ಅವುಗಳಲ್ಲಿ ಕೆಲವನ್ನು ನೋಡೋಣ.
ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲು ಸುಲಭವಾದ ಮಾರ್ಗವೆಂದರೆ ಅದನ್ನು ನೇರವಾಗಿ ಪ್ರಾರಂಭಿಸಲು ಬಳಕೆದಾರರನ್ನು ಒತ್ತಾಯಿಸುವುದು (ಉದಾಹರಣೆಗೆ, ಇಮೇಲ್ ಲಗತ್ತಿನಿಂದ), ನಂತರ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಆನ್ ಮಾಡಿದಾಗ ಪ್ರತಿ ಬಾರಿ ಅದನ್ನು ಪ್ರಾರಂಭಿಸಲು RunOnce ಕೀಲಿಯನ್ನು ಬಳಸಿ. ಇದು "ಫೈಲ್ಲೆಸ್" ಮಾಲ್ವೇರ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಅದು ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಅದು ಟ್ರಿಗ್ಗರ್ ಅನ್ನು ಆಧರಿಸಿ ಕಾರ್ಯಗತಗೊಳ್ಳುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, PowerShell ಸ್ಕ್ರಿಪ್ಟ್ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಆಗಿದೆ.
ಸ್ಪಷ್ಟವಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಮಾಲ್ವೇರ್ನ ಸಮಸ್ಯೆಯೆಂದರೆ ಅದು ಸುಲಭವಾಗಿ ಪತ್ತೆಹಚ್ಚಬಹುದಾದ ತಿಳಿದಿರುವ ವಿಧಾನವಾಗಿದೆ. ಕೆಲವು ಮಾಲ್ವೇರ್ಗಳು ಮೆಮೊರಿಯಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಮತ್ತೊಂದು ಪ್ರಕ್ರಿಯೆಯನ್ನು ಬಳಸುವಂತಹ ಹೆಚ್ಚು ಬುದ್ಧಿವಂತ ಕೆಲಸಗಳನ್ನು ಮಾಡುತ್ತದೆ. ಆದ್ದರಿಂದ, ಒಂದು ಪ್ರಕ್ರಿಯೆಯು ನಿರ್ದಿಷ್ಟ ಕಂಪ್ಯೂಟರ್ ಸೂಚನೆಯನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ಮತ್ತು ಚಲಾಯಿಸಲು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ (.exe) ಅನ್ನು ಸೂಚಿಸುವ ಮೂಲಕ ಮತ್ತೊಂದು ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸಬಹುದು.
ಫೈಲ್ ಅನ್ನು ಪೂರ್ಣ ಮಾರ್ಗವನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, C:Windowssystem32cmd.exe) ಅಥವಾ ಭಾಗಶಃ ಮಾರ್ಗ (ಉದಾಹರಣೆಗೆ, cmd.exe). ಮೂಲ ಪ್ರಕ್ರಿಯೆಯು ಅಸುರಕ್ಷಿತವಾಗಿದ್ದರೆ, ಅದು ಕಾನೂನುಬಾಹಿರ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಚಲಾಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಆಕ್ರಮಣವು ಈ ರೀತಿ ಕಾಣಿಸಬಹುದು: ಪ್ರಕ್ರಿಯೆಯು ಪೂರ್ಣ ಮಾರ್ಗವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸದೆ cmd.exe ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ, ಆಕ್ರಮಣಕಾರನು ತನ್ನ cmd.exe ಅನ್ನು ಒಂದು ಸ್ಥಳದಲ್ಲಿ ಇರಿಸುತ್ತಾನೆ ಇದರಿಂದ ಪ್ರಕ್ರಿಯೆಯು ಕಾನೂನುಬದ್ಧವಾದ ಮೊದಲು ಅದನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಒಮ್ಮೆ ಮಾಲ್ವೇರ್ ರನ್ ಆಗಿದ್ದರೆ, ಅದು ಕಾನೂನುಬದ್ಧ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ C:Windowssystem32cmd.exe) ಇದರಿಂದ ಮೂಲ ಪ್ರೋಗ್ರಾಂ ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತದೆ.
ಹಿಂದಿನ ದಾಳಿಯ ಒಂದು ಬದಲಾವಣೆಯು ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಗೆ DLL ಇಂಜೆಕ್ಷನ್ ಆಗಿದೆ. ಪ್ರಕ್ರಿಯೆಯು ಪ್ರಾರಂಭವಾದಾಗ, ಅದರ ಕಾರ್ಯವನ್ನು ವಿಸ್ತರಿಸುವ ಗ್ರಂಥಾಲಯಗಳನ್ನು ಅದು ಹುಡುಕುತ್ತದೆ ಮತ್ತು ಲೋಡ್ ಮಾಡುತ್ತದೆ. DLL ಇಂಜೆಕ್ಷನ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ಆಕ್ರಮಣಕಾರರು ಅದೇ ಹೆಸರು ಮತ್ತು API ಅನ್ನು ಕಾನೂನುಬದ್ಧವಾಗಿ ಹೊಂದಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ಲೈಬ್ರರಿಯನ್ನು ರಚಿಸುತ್ತಾರೆ. ಪ್ರೋಗ್ರಾಂ ದುರುದ್ದೇಶಪೂರಿತ ಲೈಬ್ರರಿಯನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದು ಕಾನೂನುಬದ್ಧವಾದ ಒಂದನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅಗತ್ಯವಿರುವಂತೆ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಕರೆ ಮಾಡುತ್ತದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಗ್ರಂಥಾಲಯವು ಉತ್ತಮ ಗ್ರಂಥಾಲಯಕ್ಕೆ ಪ್ರಾಕ್ಸಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಮೆಮೊರಿಗೆ ಹಾಕುವ ಇನ್ನೊಂದು ವಿಧಾನವೆಂದರೆ ಅದನ್ನು ಈಗಾಗಲೇ ಚಾಲನೆಯಲ್ಲಿರುವ ಅಸುರಕ್ಷಿತ ಪ್ರಕ್ರಿಯೆಗೆ ಸೇರಿಸುವುದು. ಪ್ರಕ್ರಿಯೆಗಳು ವಿವಿಧ ಮೂಲಗಳಿಂದ ಇನ್ಪುಟ್ ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತವೆ - ನೆಟ್ವರ್ಕ್ ಅಥವಾ ಫೈಲ್ಗಳಿಂದ ಓದುವಿಕೆ. ಇನ್ಪುಟ್ ನ್ಯಾಯಸಮ್ಮತವಾಗಿದೆಯೇ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಅವರು ಸಾಮಾನ್ಯವಾಗಿ ಪರಿಶೀಲನೆಯನ್ನು ಮಾಡುತ್ತಾರೆ. ಆದರೆ ಸೂಚನೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ ಕೆಲವು ಪ್ರಕ್ರಿಯೆಗಳು ಸರಿಯಾದ ರಕ್ಷಣೆಯನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ. ಈ ದಾಳಿಯಲ್ಲಿ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಹೊಂದಿರುವ ಡಿಸ್ಕ್ ಅಥವಾ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ನಲ್ಲಿ ಯಾವುದೇ ಲೈಬ್ರರಿ ಇಲ್ಲ. ಶೋಷಣೆಯ ಪ್ರಕ್ರಿಯೆಯೊಂದಿಗೆ ಎಲ್ಲವನ್ನೂ ಮೆಮೊರಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ.
ಈಗ ವಿಂಡೋಸ್ನಲ್ಲಿ ಅಂತಹ ಈವೆಂಟ್ಗಳ ಸಂಗ್ರಹಣೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ವಿಧಾನ ಮತ್ತು ಅಂತಹ ಬೆದರಿಕೆಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಅಳವಡಿಸುವ InTrust ನಲ್ಲಿನ ನಿಯಮವನ್ನು ನೋಡೋಣ. ಮೊದಲಿಗೆ, InTrust ನಿರ್ವಹಣೆ ಕನ್ಸೋಲ್ ಮೂಲಕ ಅದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸೋಣ.
ನಿಯಮವು ವಿಂಡೋಸ್ OS ನ ಪ್ರಕ್ರಿಯೆ ಟ್ರ್ಯಾಕಿಂಗ್ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಬಳಸುತ್ತದೆ. ದುರದೃಷ್ಟವಶಾತ್, ಅಂತಹ ಘಟನೆಗಳ ಸಂಗ್ರಹವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ. ನೀವು ಬದಲಾಯಿಸಬೇಕಾದ 3 ವಿಭಿನ್ನ ಗುಂಪು ನೀತಿ ಸೆಟ್ಟಿಂಗ್ಗಳಿವೆ:
ಕಂಪ್ಯೂಟರ್ ಕಾನ್ಫಿಗರೇಶನ್ > ನೀತಿಗಳು > ವಿಂಡೋಸ್ ಸೆಟ್ಟಿಂಗ್ಗಳು > ಭದ್ರತಾ ಸೆಟ್ಟಿಂಗ್ಗಳು > ಸ್ಥಳೀಯ ನೀತಿಗಳು > ಆಡಿಟ್ ನೀತಿ > ಆಡಿಟ್ ಪ್ರಕ್ರಿಯೆ ಟ್ರ್ಯಾಕಿಂಗ್
ಕಂಪ್ಯೂಟರ್ ಕಾನ್ಫಿಗರೇಶನ್ > ನೀತಿಗಳು > ವಿಂಡೋಸ್ ಸೆಟ್ಟಿಂಗ್ಗಳು > ಭದ್ರತಾ ಸೆಟ್ಟಿಂಗ್ಗಳು > ಸುಧಾರಿತ ಆಡಿಟ್ ನೀತಿ ಕಾನ್ಫಿಗರೇಶನ್ > ಆಡಿಟ್ ನೀತಿಗಳು > ವಿವರವಾದ ಟ್ರ್ಯಾಕಿಂಗ್ > ಆಡಿಟ್ ಪ್ರಕ್ರಿಯೆ ರಚನೆ
ಕಂಪ್ಯೂಟರ್ ಕಾನ್ಫಿಗರೇಶನ್ > ನೀತಿಗಳು > ಆಡಳಿತಾತ್ಮಕ ಟೆಂಪ್ಲೇಟ್ಗಳು > ಸಿಸ್ಟಮ್ > ಆಡಿಟ್ ಪ್ರಕ್ರಿಯೆ ರಚನೆ > ಪ್ರಕ್ರಿಯೆ ರಚನೆ ಈವೆಂಟ್ಗಳಲ್ಲಿ ಆಜ್ಞಾ ಸಾಲನ್ನು ಸೇರಿಸಿ
ಒಮ್ಮೆ ಸಕ್ರಿಯಗೊಳಿಸಿದರೆ, ಅನುಮಾನಾಸ್ಪದ ನಡವಳಿಕೆಯನ್ನು ಪ್ರದರ್ಶಿಸುವ ಹಿಂದೆ ಅಪರಿಚಿತ ಬೆದರಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು InTrust ನಿಯಮಗಳು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ನೀವು ಗುರುತಿಸಬಹುದು Dridex ಮಾಲ್ವೇರ್. HP Bromium ಯೋಜನೆಗೆ ಧನ್ಯವಾದಗಳು, ಈ ಬೆದರಿಕೆ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂದು ನಮಗೆ ತಿಳಿದಿದೆ.
ಅದರ ಕ್ರಿಯೆಗಳ ಸರಣಿಯಲ್ಲಿ, Dridex ನಿಗದಿತ ಕಾರ್ಯವನ್ನು ರಚಿಸಲು schtasks.exe ಅನ್ನು ಬಳಸುತ್ತದೆ. ಆಜ್ಞಾ ಸಾಲಿನಿಂದ ಈ ನಿರ್ದಿಷ್ಟ ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸುವುದು ತುಂಬಾ ಅನುಮಾನಾಸ್ಪದ ನಡವಳಿಕೆ ಎಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ; ಬಳಕೆದಾರ ಫೋಲ್ಡರ್ಗಳನ್ನು ಸೂಚಿಸುವ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ ಅಥವಾ “ನೆಟ್ ವ್ಯೂ” ಅಥವಾ “ಹೋಮಿ” ಆಜ್ಞೆಗಳಿಗೆ ಹೋಲುವ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ svchost.exe ಅನ್ನು ಪ್ರಾರಂಭಿಸುವುದು ಹೋಲುತ್ತದೆ. ಅನುಗುಣವಾದ ಒಂದು ತುಣುಕು ಇಲ್ಲಿದೆ :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust ನಲ್ಲಿ, ಎಲ್ಲಾ ಅನುಮಾನಾಸ್ಪದ ನಡವಳಿಕೆಯನ್ನು ಒಂದು ನಿಯಮದಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ, ಏಕೆಂದರೆ ಈ ಹೆಚ್ಚಿನ ಕ್ರಮಗಳು ನಿರ್ದಿಷ್ಟ ಬೆದರಿಕೆಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ, ಬದಲಿಗೆ ಸಂಕೀರ್ಣದಲ್ಲಿ ಅನುಮಾನಾಸ್ಪದವಾಗಿವೆ ಮತ್ತು 99% ಪ್ರಕರಣಗಳಲ್ಲಿ ಸಂಪೂರ್ಣವಾಗಿ ಉದಾತ್ತ ಉದ್ದೇಶಗಳಿಗಾಗಿ ಬಳಸಲಾಗುವುದಿಲ್ಲ. ಈ ಕ್ರಿಯೆಗಳ ಪಟ್ಟಿ ಒಳಗೊಂಡಿದೆ, ಆದರೆ ಇವುಗಳಿಗೆ ಸೀಮಿತವಾಗಿಲ್ಲ:
- ಬಳಕೆದಾರರ ತಾತ್ಕಾಲಿಕ ಫೋಲ್ಡರ್ಗಳಂತಹ ಅಸಾಮಾನ್ಯ ಸ್ಥಳಗಳಿಂದ ಚಾಲನೆಯಲ್ಲಿರುವ ಪ್ರಕ್ರಿಯೆಗಳು.
- ಸಂಶಯಾಸ್ಪದ ಅನುವಂಶಿಕತೆಯೊಂದಿಗೆ ಪ್ರಸಿದ್ಧವಾದ ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆ - ಕೆಲವು ಬೆದರಿಕೆಗಳು ಪತ್ತೆಹಚ್ಚದೆ ಉಳಿಯಲು ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗಳ ಹೆಸರನ್ನು ಬಳಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು.
- ಸ್ಥಳೀಯ ಸಿಸ್ಟಮ್ ರುಜುವಾತುಗಳು ಅಥವಾ ಅನುಮಾನಾಸ್ಪದ ಉತ್ತರಾಧಿಕಾರವನ್ನು ಬಳಸುವಾಗ cmd ಅಥವಾ PsExec ನಂತಹ ಆಡಳಿತಾತ್ಮಕ ಸಾಧನಗಳ ಅನುಮಾನಾಸ್ಪದ ಮರಣದಂಡನೆಗಳು.
- ಅನುಮಾನಾಸ್ಪದ ನೆರಳು ನಕಲು ಕಾರ್ಯಾಚರಣೆಗಳು ಸಿಸ್ಟಮ್ ಅನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುವ ಮೊದಲು ransomware ವೈರಸ್ಗಳ ಸಾಮಾನ್ಯ ನಡವಳಿಕೆಯಾಗಿದೆ; ಅವು ಬ್ಯಾಕಪ್ಗಳನ್ನು ಕೊಲ್ಲುತ್ತವೆ:
- vssadmin.exe ಮೂಲಕ;
- WMI ಮೂಲಕ. - ಸಂಪೂರ್ಣ ರಿಜಿಸ್ಟ್ರಿ ಜೇನುಗೂಡುಗಳ ಡಂಪ್ಗಳನ್ನು ನೋಂದಾಯಿಸಿ.
- at.exe ನಂತಹ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ರಿಮೋಟ್ನಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಿದಾಗ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನ ಸಮತಲ ಚಲನೆ.
- net.exe ಬಳಸಿಕೊಂಡು ಅನುಮಾನಾಸ್ಪದ ಸ್ಥಳೀಯ ಗುಂಪು ಕಾರ್ಯಾಚರಣೆಗಳು ಮತ್ತು ಡೊಮೇನ್ ಕಾರ್ಯಾಚರಣೆಗಳು.
- netsh.exe ಬಳಸಿಕೊಂಡು ಅನುಮಾನಾಸ್ಪದ ಫೈರ್ವಾಲ್ ಚಟುವಟಿಕೆ.
- ACL ನ ಸಂಶಯಾಸ್ಪದ ಕುಶಲತೆ.
- ಡೇಟಾ ಎಕ್ಸ್ಫಿಲ್ಟ್ರೇಶನ್ಗಾಗಿ BITS ಅನ್ನು ಬಳಸುವುದು.
- WMI ಯೊಂದಿಗೆ ಅನುಮಾನಾಸ್ಪದ ಕುಶಲತೆಗಳು.
- ಅನುಮಾನಾಸ್ಪದ ಸ್ಕ್ರಿಪ್ಟ್ ಆಜ್ಞೆಗಳು.
- ಸುರಕ್ಷಿತ ಸಿಸ್ಟಮ್ ಫೈಲ್ಗಳನ್ನು ಡಂಪ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.
RUYK, LockerGoga ಮತ್ತು ಇತರ ransomware, ಮಾಲ್ವೇರ್ ಮತ್ತು ಸೈಬರ್ ಕ್ರೈಮ್ ಟೂಲ್ಕಿಟ್ಗಳಂತಹ ಬೆದರಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸಂಯೋಜಿತ ನಿಯಮವು ಉತ್ತಮವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಉತ್ಪಾದನಾ ಪರಿಸರದಲ್ಲಿ ಮಾರಾಟಗಾರರಿಂದ ನಿಯಮವನ್ನು ಪರೀಕ್ಷಿಸಲಾಗಿದೆ. ಮತ್ತು SIGMA ಯೋಜನೆಗೆ ಧನ್ಯವಾದಗಳು, ಈ ಹೆಚ್ಚಿನ ಸೂಚಕಗಳು ಕನಿಷ್ಠ ಸಂಖ್ಯೆಯ ಶಬ್ದ ಘಟನೆಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತವೆ.
ಏಕೆಂದರೆ InTrust ನಲ್ಲಿ ಇದು ಮೇಲ್ವಿಚಾರಣಾ ನಿಯಮವಾಗಿದೆ, ನೀವು ಬೆದರಿಕೆಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಪ್ರತಿಕ್ರಿಯೆ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ನೀವು ಅಂತರ್ನಿರ್ಮಿತ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಲ್ಲಿ ಒಂದನ್ನು ಬಳಸಬಹುದು ಅಥವಾ ನಿಮ್ಮದೇ ಆದದನ್ನು ರಚಿಸಬಹುದು ಮತ್ತು InTrust ಅದನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ವಿತರಿಸುತ್ತದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ನೀವು ಎಲ್ಲಾ ಈವೆಂಟ್-ಸಂಬಂಧಿತ ಟೆಲಿಮೆಟ್ರಿಯನ್ನು ಪರಿಶೀಲಿಸಬಹುದು: ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು, ಪ್ರಕ್ರಿಯೆಯ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆ, ನಿಗದಿತ ಕಾರ್ಯದ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ಗಳು, WMI ಆಡಳಿತಾತ್ಮಕ ಚಟುವಟಿಕೆ, ಮತ್ತು ಭದ್ರತಾ ಘಟನೆಗಳ ಸಮಯದಲ್ಲಿ ಮರಣೋತ್ತರ ಪರೀಕ್ಷೆಗಳಿಗೆ ಅವುಗಳನ್ನು ಬಳಸಬಹುದು.
InTrust ನೂರಾರು ಇತರ ನಿಯಮಗಳನ್ನು ಹೊಂದಿದೆ, ಅವುಗಳಲ್ಲಿ ಕೆಲವು:
- ಯಾರಾದರೂ ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ ಪವರ್ಶೆಲ್ನ ಹಳೆಯ ಆವೃತ್ತಿಯನ್ನು ಬಳಸಿದಾಗ ಪವರ್ಶೆಲ್ ಡೌನ್ಗ್ರೇಡ್ ದಾಳಿಯನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು ಏಕೆಂದರೆ... ಹಳೆಯ ಆವೃತ್ತಿಯಲ್ಲಿ ಏನಾಗುತ್ತಿದೆ ಎಂಬುದನ್ನು ಆಡಿಟ್ ಮಾಡಲು ಯಾವುದೇ ಮಾರ್ಗವಿರಲಿಲ್ಲ.
- ಒಂದು ನಿರ್ದಿಷ್ಟ ಸವಲತ್ತು ಪಡೆದ ಗುಂಪಿನ (ಡೊಮೇನ್ ನಿರ್ವಾಹಕರಂತಹ) ಸದಸ್ಯರಾಗಿರುವ ಖಾತೆಗಳು ಆಕಸ್ಮಿಕವಾಗಿ ಅಥವಾ ಭದ್ರತಾ ಘಟನೆಗಳ ಕಾರಣದಿಂದಾಗಿ ಕಾರ್ಯಸ್ಥಳಗಳಿಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿದಾಗ ಹೆಚ್ಚಿನ ಸವಲತ್ತು ಲಾಗಿನ್ ಪತ್ತೆ ಹಚ್ಚುವಿಕೆಯಾಗಿದೆ.
ಪೂರ್ವನಿರ್ಧರಿತ ಪತ್ತೆ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆ ನಿಯಮಗಳ ರೂಪದಲ್ಲಿ ಉತ್ತಮ ಭದ್ರತಾ ಅಭ್ಯಾಸಗಳನ್ನು ಬಳಸಲು InTrust ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಮತ್ತು ಏನಾದರೂ ವಿಭಿನ್ನವಾಗಿ ಕೆಲಸ ಮಾಡಬೇಕು ಎಂದು ನೀವು ಭಾವಿಸಿದರೆ, ನೀವು ನಿಯಮದ ನಿಮ್ಮ ಸ್ವಂತ ನಕಲನ್ನು ಮಾಡಬಹುದು ಮತ್ತು ಅಗತ್ಯವಿರುವಂತೆ ಅದನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು. ಪೈಲಟ್ ನಡೆಸಲು ಅಥವಾ ತಾತ್ಕಾಲಿಕ ಪರವಾನಗಿಗಳೊಂದಿಗೆ ವಿತರಣಾ ಕಿಟ್ಗಳನ್ನು ಪಡೆಯಲು ನೀವು ಅರ್ಜಿಯನ್ನು ಸಲ್ಲಿಸಬಹುದು ನಮ್ಮ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ.
ನಮ್ಮ ಚಂದಾದಾರರಾಗಿ , ನಾವು ಅಲ್ಲಿ ಸಣ್ಣ ಟಿಪ್ಪಣಿಗಳು ಮತ್ತು ಆಸಕ್ತಿದಾಯಕ ಲಿಂಕ್ಗಳನ್ನು ಪ್ರಕಟಿಸುತ್ತೇವೆ.
ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಕುರಿತು ನಮ್ಮ ಇತರ ಲೇಖನಗಳನ್ನು ಓದಿ:
(ಜನಪ್ರಿಯ ಲೇಖನ)
ಮೂಲ: www.habr.com