Чабуулдардын эң кеңири таралган түрлөрүнүн бири – бул толугу менен кадыр-барктуу процесстер астында даракка зыяндуу процесстин уруктандыруу. Аткарылуучу файлдын жолу шектүү болушу мүмкүн: кесепеттүү программа көбүнчө AppData же Temp папкаларын колдонот жана бул мыйзамдуу программалар үчүн мүнөздүү эмес. Адилеттүүлүк үчүн айтсак, кээ бир автоматтык жаңыртуу программалары AppDataда аткарылат, андыктан программанын зыяндуу экенин ырастоо үчүн жөн гана ишке киргизүү ордун текшерүү жетиштүү эмес.
Мыйзамдуулуктун кошумча фактору криптографиялык кол коюу болуп саналат: көптөгөн оригиналдуу программаларга сатуучу кол коюшат. Сиз шектүү баштоо элементтерин аныктоо ыкмасы катары кол жок экенин колдоно аласыз. Бирок, кайра өзүнө кол коюу үчүн уурдалган сертификатты колдонгон зыяндуу программа пайда болот.
Сиз ошондой эле MD5 же SHA256 криптографиялык хэштеринин маанисин текшере аласыз, бул мурда аныкталган зыяндуу программаларга дал келиши мүмкүн. Программадагы кол тамгаларды карап статикалык талдоо жүргүзө аласыз (Yara эрежелерин же антивирустук өнүмдөрдү колдонуу). Ошондой эле динамикалык анализ (программаны кандайдыр бир коопсуз чөйрөдө иштетүү жана анын иш-аракеттерин көзөмөлдөө) жана тескери инженерия бар.
Зыяндуу процесстин көптөгөн белгилери болушу мүмкүн. Бул макалада биз сизге Windows'тун тиешелүү окуяларын текшерүүнү кантип иштетүү керектигин айтып беребиз, биз орнотулган эреже таянган белгилерди талдайбыз.
Программа ишке киргенде, ал компьютердин эс тутумуна жүктөлөт. Аткарылуучу файл компьютер нускамаларын жана көмөкчү китепканаларды камтыйт (мисалы, *.dll). Процесс иштеп жатканда, ал кошумча жиптерди түзө алат. Жиптер процесске бир эле учурда ар кандай нускамаларды аткарууга мүмкүндүк берет. Зыяндуу коддун эстутумга кирип, иштетүүнүн көптөгөн жолдору бар, алардын айрымдарын карап көрөлү.
Зыяндуу процессти ишке киргизүүнүн эң оңой жолу - колдонуучуну аны түз ишке киргизүүгө мажбурлоо (мисалы, электрондук почта тиркемесинде), андан кийин RunOnce баскычын компьютер күйгүзүлгөн сайын ишке киргизүү. Бул ошондой эле триггердин негизинде аткарылган реестр ачкычтарында PowerShell скрипттерин сактаган "файлсыз" кесепеттүү программаны камтыйт. Бул учурда, PowerShell скрипти зыяндуу код болуп саналат.
Ачык түрдө иштеп жаткан кесепеттүү программанын көйгөйү - бул оңой табыла турган белгилүү ыкма. Кээ бир зыяндуу программалар эстутумда аткарууну баштоо үчүн башка процессти колдонуу сыяктуу акылдуураак иштерди жасайт. Демек, процесс белгилүү бир компьютер нускамасын иштетүү жана аткаруу үчүн аткарылуучу файлды (.exe) көрсөтүү менен башка процессти түзө алат.
Файлды толук жол (мисалы, C:Windowssystem32cmd.exe) же жарым-жартылай жол (мисалы, cmd.exe) аркылуу көрсөтүүгө болот. Эгерде баштапкы процесс кооптуу болсо, анда ал мыйзамсыз программаларды иштетүүгө мүмкүндүк берет. Чабуул мындай көрүнүшү мүмкүн: процесс толук жолду көрсөтпөстөн cmd.exe файлын ишке киргизет, чабуулчу өзүнүн cmd.exe файлын процесс аны мыйзамдуудан мурун ишке киргизгидей жерге жайгаштырат. Кесепеттүү программа иштетилгенден кийин, ал өз кезегинде мыйзамдуу программаны (мисалы, C:Windowssystem32cmd.exe) ишке киргизип, баштапкы программа туура иштешин уланта алат.
Мурунку чабуулдун бир варианты мыйзамдуу процесске DLL инъекциясы болуп саналат. Процесс башталганда, анын функцияларын кеңейтүүчү китепканаларды таап, жүктөйт. DLL инъекциясын колдонуп, чабуулчу мыйзамдуу деген аталыштагы жана API менен зыяндуу китепкананы түзөт. Программа зыяндуу китепкананы жүктөйт жана ал өз кезегинде мыйзамдуу китепкананы жүктөйт жана керек болсо, аны операцияларды аткарууга чакырат. Зыяндуу китепкана жакшы китепкана үчүн прокси катары иштей баштайт.
Зыяндуу кодду эс тутумга коюунун дагы бир жолу - аны мурунтан эле иштеп жаткан кооптуу процесске киргизүү. Процесстер ар кандай булактардан маалымат алышат - тармактан же файлдардан окуу. Алар, адатта, киргизүү мыйзамдуу экенин текшерүү үчүн жүзөгө ашырат. Бирок кээ бир процесстер көрсөтмөлөрдү аткарууда тийиштүү коргоого ээ эмес. Бул чабуулда дискте китепкана же зыяндуу кодду камтыган аткарылуучу файл жок. Бардыгы эксплуатациялануучу процесс менен бирге эс тутумда сакталат.
Эми мындай окуяларды Windowsта чогултууну иштетүү методологиясын жана InTrust программасында мындай коркунучтардан коргоону ишке ашырган эрежени карап көрөлү. Биринчиден, аны InTrust башкаруу консолу аркылуу иштетели.
Эреже Windows OS процессине көз салуу мүмкүнчүлүктөрүн колдонот. Тилекке каршы, мындай окуяларды чогултууга мүмкүнчүлүк берүү айкын эмес. Сиз өзгөртүшүңүз керек болгон 3 түрдүү Топтук саясат орнотуулары бар:
Компьютердин конфигурациясы > Саясаттар > Windows Орнотуулары > Коопсуздук Орнотуулары > Жергиликтүү саясаттар > Аудит саясаты > Аудит процессине көз салуу
Компьютердин конфигурациясы > Саясаттар > Windows Орнотуулары > Коопсуздук Орнотуулары > Өркүндөтүлгөн Аудит Саясат Конфигурациясы > Аудит Саясаттары > Деталдаштырылган көзөмөлдөө > Аудит процессин түзүү
Компьютер конфигурациясы > Саясат > Административдик шаблондор > Система > Процессти текшерүү > Процессти түзүү окуяларына буйрук сабын кошуу
Иштетилгенден кийин, InTrust эрежелери шектүү жүрүм-турумду көрсөткөн мурда белгисиз коркунучтарды аныктоого мүмкүндүк берет. Мисалы, сиз аныктай аласыз
Иш-аракеттердин чынжырында Dridex пландаштырылган тапшырманы түзүү үчүн schtasks.exe колдонот. Бул атайын утилитаны буйрук сабынан колдонуу өтө шектүү жүрүм-турум катары каралат; svchost.exe файлын колдонуучу папкаларды көрсөткөн параметрлери менен же "таза көрүнүш" же "whoami" буйруктарына окшош параметрлер менен ишке киргизүү окшош көрүнөт. Бул жерде тиешелүү бир фрагмент болуп саналат
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
InTrust'та бардык шектүү жүрүм-турумдар бир эрежеге киргизилген, анткени бул аракеттердин көбү белгилүү бир коркунучка мүнөздүү эмес, тескерисинче, татаалда шектүү жана 99% учурларда толук эмес асыл максаттар үчүн колдонулат. Бул иш-аракеттердин тизмеси төмөнкүлөрдү камтыйт, бирок алар менен чектелбейт:
- Колдонуучунун убактылуу папкалары сыяктуу адаттан тыш жерлерден иштеп жаткан процесстер.
- Шектүү мураска ээ белгилүү система процесси - кээ бир коркунучтар билинбей калуу үчүн система процесстеринин атын колдонууга аракет кылышы мүмкүн.
- cmd же PsExec сыяктуу административдик инструменттердин шектүү аткарылышы, алар жергиликтүү системанын эсептик дайындарын же шектүү мурасты колдонгондо.
- Шектүү көмүскө көчүрүү операциялары ransomware вирустарынын системаны шифрлөөдөн мурун кеңири таралган жүрүм-туруму болуп саналат; алар резервдик көчүрмөлөрдү өлтүрүшөт:
— vssadmin.exe аркылуу;
- WMI аркылуу. - Бүт реестр уюктарынын таштандыларын каттоо.
- Процесс алыстан at.exe сыяктуу буйруктарды колдонуу менен ишке киргизилгенде зыяндуу коддун горизонталдуу кыймылы.
- Шектүү жергиликтүү топ операциялары жана net.exe аркылуу домен операциялары.
- netsh.exe аркылуу шектүү брандмауэр аракети.
- ACLди шектүү манипуляциялоо.
- Маалыматтарды эксфильтрациялоо үчүн BITS колдонуу.
- WMI менен шектүү манипуляциялар.
- Шектүү скрипт буйруктары.
- Коопсуз система файлдарын таштоого аракет.
Комплекстүү эреже RUYK, LockerGoga жана башка ransomware, кесепеттүү программалар жана киберкылмыштуулук куралдары сыяктуу коркунучтарды аныктоо үчүн абдан жакшы иштейт. Эреже жалган позитивдерди азайтуу үчүн сатуучу тарабынан өндүрүш чөйрөлөрүндө сыналган. Ал эми SIGMA долбоорунун аркасында бул көрсөткүчтөрдүн көбү ызы-чуу окуялардын минималдуу санын чыгарат.
Анткени InTrust'та бул мониторинг эрежеси, сиз коркунучка жооп катары жооп сценарийин аткара аласыз. Сиз орнотулган скрипттердин бирин колдонсоңуз же өзүңүздүнүңүздү түзө аласыз жана InTrust аны автоматтык түрдө таркатат.
Мындан тышкары, сиз окуяга байланыштуу бардык телеметрияны текшере аласыз: PowerShell скрипттери, процесстин аткарылышы, пландалган тапшырма манипуляциялары, WMI административдик иш-аракети жана аларды коопсуздук инциденттери учурунда өлүмдөн кийинки текшерүү үчүн колдоно аласыз.
InTrust дагы жүздөгөн эрежелерге ээ, алардын айрымдары:
- Кимдир бирөө PowerShellдин эски версиясын атайылап колдонгондо, PowerShell версиясын төмөндөтүү чабуулун аныктоо, анткени... эски версияда эмне болуп жатканын текшерүү үчүн эч кандай жол жок болчу.
- Жогорку артыкчылыктуу кирүү аныктоо – бул белгилүү бир артыкчылыктуу топтун мүчөлөрү (мисалы, домен администраторлору) кокусунан же коопсуздук инциденттеринен улам жумушчу станцияларга киргенде.
InTrust алдын ала аныкталган аныктоо жана реакция эрежелери түрүндө коопсуздуктун мыкты тажрыйбаларын колдонууга мүмкүндүк берет. Эгер сиз бир нерсе башкача иштеши керек деп ойлосоңуз, эреженин өзүңүздүн көчүрмөсүн жасап, керек болсо конфигурациялай аласыз. Сиз аркылуу пилоттук өткөрүүгө же убактылуу лицензиялар менен бөлүштүрүүчү комплекттерди алууга арыз бере аласыз
Биздин каналга жазылыңыз
Маалымат коопсуздугу боюнча башка макалаларыбызды окуңуз:
Source: www.habr.com