Stasyona xebatê ya bikarhêner di warê ewlehiya agahdariyê de xala herî xeternak a binesaziyê ye. Bikarhêner dikarin nameyek ji e-nameya xebata xwe re werbigirin ku xuya dike ku ji çavkaniyek ewle ye, lê bi girêdanek ji malperek vegirtî re. Dibe ku kesek ji cîhek nenas amûrek ji bo xebatê kêrhatî dakêşîne. Erê, hûn dikarin bi dehan bûyeran derxînin ka meriv çawa malware dikare çavkaniyên pargîdaniya hundurîn bi navgîniya bikarhêneran ve bikeve. Ji ber vê yekê, qereqolên xebatê hewceyê baldarî zêde dikin, û di vê gotarê de em ê ji we re vebêjin ku li ku û çi bûyeran bigirin da ku çavdêriya êrîşan bikin.
Ji bo tesbîtkirina êrîşek di qonaxa herî zû ya gengaz de, WIndows sê çavkaniyên bûyerê yên kêrhatî hene: Têketina Bûyera Ewlekariyê, Qeyda Şopandina Pergalê, û Têketinên Hêzê Shell.
Têketina Bûyera Ewlekariyê
Ev cîhê hilanînê sereke ye ji bo têketinên ewlehiya pergalê. Ev di nav de bûyerên têketinê/derketina bikarhêner, gihîştina tiştan, guheztinên polîtîkayê û çalakiyên din ên têkildarî ewlehiyê pêk tîne. Bê guman, heke polîtîkaya guncan were mîheng kirin.
Jimartina bikarhêner û koman (bûyerên 4798 û 4799). Di destpêka êrîşê de, malware bi gelemperî di nav hesabên bikarhênerên herêmî û komên herêmî yên li qereqolek kar de digere da ku pêbaweriyên ji bo danûstandinên xwe yên siya bibîne. Van bûyeran dê alîkariya teşhîskirina koda xirab bikin berî ku ew bimeşe û, bi karanîna daneyên berhevkirî, li pergalên din belav bibe.
Afirandina hesabek herêmî û guhertinên di komên herêmî de (bûyerên 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 û 5377). Di heman demê de êrîş dikare dest pê bike, mînakî, bi zêdekirina bikarhênerek nû li koma rêveberên herêmî.
Têketinê bi hesabek herêmî re hewl dide (bûyer 4624). Bikarhênerên rêzdar bi hesabek domainê têkevin, û destnîşankirina têketinek di binê hesabek herêmî de dikare were wateya destpêkirina êrîşê. Bûyer 4624 di heman demê de têketinên di binê hesabek domainê de vedihewîne, ji ber vê yekê dema ku bûyeran hildiweşîne, hûn hewce ne ku bûyerên ku domain ji navê qereqola xebatê cûda ye fîlter bikin.
Hewldanek ji bo têketina bi hesabê diyarkirî (bûyer 4648). Ev diqewime dema ku pêvajo di moda "wek xebitandinê" de dimeşe. Divê ev di dema xebata normal ya pergalê de nebe, ji ber vê yekê divê bûyerên weha bêne kontrol kirin.
Girtin/vekirina qereqola xebatê (bûyerên 4800-4803). Kategoriya bûyerên gumanbar her kiryarên ku li qereqolek xebatê ya girtî qewimîne vedihewîne.
Guhertinên veavakirina Firewallê (bûyerên 4944-4958). Eşkere ye, dema sazkirina nermalava nû, dibe ku mîhengên veavakirina dîwarê agir biguhezîne, ku dê bibe sedema erênîyên derewîn. Di pir rewşan de, ne hewce ye ku meriv guheztinên weha kontrol bike, lê bê guman ew ê zirarê neke ku li ser wan zanibe.
Girêdana cîhazên Plug'n'play (bûyer 6416 û tenê ji bo WIndows 10). Girîng e ku meriv çavê xwe li vê yekê bigire ger bikarhêner bi gelemperî cîhazên nû bi qereqola xebatê ve girênedin, lê dûv re ji nişkê ve ew dikin.
Windows 9 kategoriyên kontrolê û 50 binkategorî ji bo birêkûpêkkirinê vedihewîne. Rêjeya herî kêm a binkategorî ya ku divê di mîhengan de were çalak kirin:
Têketin / Logoff
- Logon;
- Logoff;
- Girtina Hesabê;
- Bûyerên Têketinê / Têketinê yên Din.
Management account
- Rêveberiya Hesabê Bikarhêner;
- Rêveberiya Koma Ewlekariyê.
Guhertina Polîtîkayê
- Guhertina Polîtîkaya Kontrolê;
- Guhertina Polîtîkaya Nasnameyê;
- Guhertina Polîtîkaya Desthilatdariyê.
Çavdêriya Sîstemê (Sysmon)
Sysmon amûrek e ku di Windows-ê de hatî çêkirin e ku dikare bûyeran di têketina pergalê de tomar bike. Bi gelemperî hûn hewce ne ku wê ji hev cuda saz bikin.
Van heman bûyeran, di prensîbê de, dikarin di qeyda ewlehiyê de werin dîtin (bi çalakkirina polîtîkaya lêgerînê ya xwestinê), lê Sysmon hûrgulî peyda dike. Çi bûyer dikarin ji Sysmon bêne girtin?
Afirandina pêvajoyê (Bûyer ID 1). Têketina bûyera ewlehiya pergalê dikare ji we re bêje kengê *.exe dest pê kir û tewra nav û riya destpêkirina xwe jî nîşan bide. Lê berevajî Sysmon, ew ê nikaribe haşa serîlêdanê nîşan bide. Dibe ku nermalava xerab jî jê re notepad.exe bê zirar were gotin, lê ew haş e ku wê derxe ronahiyê.
Têkiliyên Torê (Nasnameya Bûyer 3). Eşkere ye, gelek girêdanên torê hene, û ne gengaz e ku meriv wan hemîyan bişopîne. Lê girîng e ku meriv bifikirin ku Sysmon, berevajî Têketinê Ewlekariyê, dikare pêwendiyek torê bi qadên ProcessID û ProcessGUID ve girêbide, û port û navnîşanên IP-ya çavkanî û meqsedê nîşan dide.
Guhertinên di qeydkirina pergalê de (Nasnameya bûyerê 12-14). Awayê herî hêsan ku meriv xwe li autorun zêde bike qeydkirina di qeydê de ye. Têketina Ewlekariyê dikare vî karî bike, lê Sysmon nîşan dide ku kê guheztin çêkiriye, kengê, ji ku derê, ID pêvajoyê û nirxa mifteya berê.
Afirandina pelê (Nasnameya bûyerê 11). Sysmon, berevajî Têketina Ewlekariyê, dê ne tenê cîhê pelê, lê di heman demê de navê wê jî nîşan bide. Zelal e ku hûn nekarin her tiştî bişopînin, lê hûn dikarin hin pelrêçan kontrol bikin.
Û naha ya ku ne di polîtîkayên Têketinê Ewlekariyê de ye, lê di Sysmon de ye:
Guhertina dema çêkirina pelê (Nasnameya bûyerê 2). Hin malware dikarin dîroka çêkirina pelê bixapînin da ku wê ji raporên pelên nû hatine afirandin veşêrin.
Barkirina ajokaran û pirtûkxaneyên dînamîkî (Nasnameyên bûyerê 6-7). Şopandina barkirina DLL û ajokarên cîhazê di bîranînê de, kontrolkirina îmzeya dîjîtal û derbasdariya wê.
Di pêvajoyek xebitandinê de mijarek biafirînin (Bûyer ID 8). Yek cure êrîşan jî divê bê şopandin.
Bûyerên RawAccessRead (Nasnameya Bûyerê 9). Operasyonên xwendina dîskê bi karanîna "."". Di pirraniya bûyeran de, çalakiya weha divê ne normal were hesibandin.
Pelê pelê bi navûdeng biafirînin (Nasnameya bûyerê 15). Bûyerek tê tomarkirin dema ku pelek pelê bi navkirî tê afirandin ku bûyeran bi haşek naveroka pelê diweşîne.
Afirandina boriyek binavkirî û girêdanek (Nasnameya bûyerê 17-18). Şopandina koda xirab a ku bi hêmanên din re bi navgîniya lûleya binavkirî re têkilî dike.
Çalakiya WMI (Nasnameya bûyerê 19). Tomarkirina bûyerên ku dema gihîştina pergalê bi protokola WMI ve têne çêkirin.
Ji bo parastina Sysmon bixwe, hûn hewce ne ku bûyerên bi ID 4 (Sysmon rawestandin û destpêkirin) û ID 16 (guheztinên veavakirina Sysmon) bişopînin.
Têketinên Shell Power
Power Shell ji bo birêvebirina binesaziya Windows-ê amûrek hêzdar e, ji ber vê yekê şans zêde ye ku êrîşkar wê hilbijêrin. Du çavkanî hene ku hûn dikarin bikar bînin da ku daneyên bûyera Power Shell bistînin: Têketina Windows PowerShell û têketina Microsoft-WindowsPowerShell/Operational.
Têketina Windows PowerShell
Pêşkêşvanê daneyê barkirî (Nasnameya bûyerê 600). Pêşkêşkerên PowerShell bername ne ku çavkaniyek daneyê ji bo dîtin û birêvebirina PowerShell peyda dikin. Mînakî, pêşkêşkerên çêkirî dikarin guhêrbarên jîngehê yên Windows-ê an qeydkirina pergalê bin. Pêdivî ye ku derketina peydakerên nû were şopandin da ku di wextê de çalakiya xirab were dîtin. Mînakî, heke hûn dibînin WSMan di nav pêşkêşvanan de xuya dike, wê hingê rûniştinek PowerShell-ê ya dûr dest pê kiriye.
Microsoft-WindowsPowerShell / Têketina xebitandinê (an MicrosoftWindows-PowerShellCore / Operational di PowerShell 6 de)
Têketina modulê (Nasnameya bûyerê 4103). Bûyer agahdariya li ser her fermanek hatî darvekirin û pîvanên ku jê re tê gotin hilîne.
Têketina astengkirina skrîptê (Nasnameya bûyerê 4104). Têketina astengkirina skrîptê her bloka koda PowerShell-ê hatî darvekirin nîşan dide. Her çend êrîşkar hewl bide ku fermanê veşêre, ev celeb bûyer dê fermana PowerShell ya ku bi rastî hatî darve kirin nîşan bide. Ev celeb bûyer dikare hin bangên API-a-asta nizm ên ku têne çêkirin jî tomar bike, ev bûyer bi gelemperî wekî Verbose têne tomar kirin, lê heke fermanek an skrîptek gumanbar di bloka kodê de were bikar anîn, ew ê wekî hişkiya Hişyariyê were tomar kirin.
Ji kerema xwe bala xwe bidin ku gava ku amûr were mîheng kirin ku van bûyeran berhev bike û analîz bike, ji bo kêmkirina jimareya pozîtîfên derewîn dê demek zêdekirina xeletiyê hewce bike.
Di şîroveyan de ji me re bibêjin ka hûn ji bo vekolînên ewlehiya agahdarî çi têketin berhev dikin û hûn ji bo vê yekê çi amûran bikar tînin. Yek ji qadên me yên bala çareseriyên ji bo kontrolkirina bûyerên ewlehiya agahdariyê ye. Ji bo çareserkirina pirsgirêka berhevkirin û analîzkirina têketin, em dikarin pêşniyar bikin ku meriv ji nêz ve lênihêrin , ku dikare daneyên hilanîn bi rêjeyek 20:1 berhev bike, û mînakek sazkirî ya wê dikare di çirkeyê de 60000 bûyeran ji 10000 çavkaniyan hilîne.
Source: www.habr.com