Una communissima genera impetus est processus maligni fetis in arbore sub processibus omnino honestis. Semita ad documentum exsecutabile potest esse suspectum: malware saepe utitur in AppData vel Temp folder, quod non est typicum pro legitimis programmatis. Ut aequum sit, dignum est dicere aliquas utilitates renovationis latae in AppData exsecutioni mandari, ergo tantum locum launchendi iniecta non sufficit ad confirmandum programma malitiosum esse.
Additum elementum legitimationis subscriptio cryptographica est: multa programmata originalia a venditore signata sunt. Hoc uti potes, nulla subscriptio ut methodus cognoscendi suspectum items startup. Sed tunc rursus est malware qui furto utitur libello ad ipsum subscribendum.
Potes etiam inhibere valorem hashes cryptographicae MD5 vel SHA256, quae possunt respondere nonnullis malware antea detectis. Analysis staticam praestare potes per inspectiones subscriptionum in programmatis (utendo praecepta Yara vel productos antiviros). Est etiam analysis dynamica (programma currit in aliquo ambitu tuto ac vigilantia actiones eius) et in machinatione versa.
Mali processus signa multa possunt esse. In hoc articulo narrabimus tibi quomodo ad audiendas res in Fenestra pertinentium eventus, signa analyses quae in regula aedificata nititur. ad identify suspectum. Intrust is ad colligendas, analysendas et informandas notitias reponendas, quae iam centena habet motus praefinitos ad varias oppugnationum rationes.
Cum programma emittitur, in computatoris memoriam oneratur. Exsecubilis fasciculus continet instructiones computatrum et bibliothecas sustentandas (exempli gratia *.dll). Cum processum iam currit, fila additional creare potest. Stamina permittunt processus diversis simul instructiones exsequi. Plures modi sunt malitiosi codicis ad memoriam penetrent et decurrunt, inspiciamus aliquos eorum.
Facillima via est ad processum malitiosum deducendi est cogere utentem ad immediatam illam immittendi (exempli gratia, ab inscriptionem electronicam), tum clavis RunOnce utere ad eum omni tempore quo in computatorium deducendum est. Hoc etiam includit "imperfectum" malware qui scriptorum PowerShell addit in registro clavium quae ex in felis exsecutioni sunt. In hoc casu, malevolum codicem PowerShell script.
Problema cum malware currit expresse est notum accessum esse quod facile deprehenditur. Aliquid malware res acutiores facit, ut utens alio processu ad exsequendum in memoria proficiscatur. Ergo processus alium processum creare potest currendo specificae instructionis computatrum et specificans documentum exsecutabile (.exe) ad currendum.
Tabella specificari potest utens plenam viam (exempli gratia, C:Windowssystem32cmd.exe) vel partialem viam (exempli gratia cmd.exe). Si processus primigenius incertus est, illegitimos programmata currere permittit. Impetus hic spectare potest: processus cmd.exe immittit sine specificatione plenae semitae, oppugnator suum cmd.exe in loco ponit ut processus ante legitimum eam immittat. Postquam malware currit, legitimum programma (ut C:Windowssystem32cmd.exe) mittere potest ut programma originale recte operari pergat.
Variatio oppugnationis praecedentis est DLL iniectio in processum legitimum. Cum processus incipit, bibliothecas invenit et onerat quae suam functionitatem extendunt. DLL iniectio utens, impugnans bibliothecam malevolam eodem nomine et API legitimum creat. Malivolam bibliothecam programma onerat, et vicissim legitimum onerat ac, ut necesse est, ad operationes perficiendas vocat. Bibliotheca malitiosa incipit agere procuratorem ad bibliothecam bonam.
Alius modus malevolorum codici in memoriam inserere est processum non tutum iam currentem inserere. Processus initus e variis fontibus accipiunt - Lectio e retis vel imagini. Solent perscriptio ut initus legitimam expleat. Sed quidam processus non habent propriam custodiam quando instructiones exequuntur. In hoc impetu nulla bibliotheca in orbe vel fasciculus exsecutabilis in codice malitioso continentur. Omnia in memoriam reponuntur una cum processu abutuntur.
Nunc inspiciamus methodologiam ut collectionem talium eventuum in Windows et regulam in Intrust, quod instrumentum munit contra tales minas. Primum, eam movere per administrationem Intrust consolatorium.
Regula utitur processus investigationis facultatum Fenestrarum OS. Dolendum sane, quod eiusmodi rerum collectio procul obvia sit. Sunt 3 diversae Group Policy occasus debes mutare:
Computer configurationis> Politiae> Fenestra Occasus> Securitatis Occasus> Loci Politiae> Audit Policy> Audit processus tracking
Computatrum configurationis > Politiae > Windows Occasus > Securitatis Occasus > Provectus Audit Policy configurationis > Audit Politiae > Detailing mauris > Audit processus creaturae
Computatrum configurationis > Politiae > Templates administrativae > Systema > Audit Processum Creationis > Lineam iubes comprehendere in processu rerum creationis
Postquam para, Intrusa praecepta permittunt te deprehendere minas ignotas antea quae suspectas mores exhibent. Exempli gratia, cognoscere potes Dridex malware. Gratias ad propositum HP Bromium, scimus quomodo haec comminatio operatur.
Dridex in nexu actionum utitur schtasks.exe ad munus horarium creandum. Utens hac peculiari utilitate ex mandato lineae mores valde suspectos habetur, deductis svchost.exe cum parametris quae ad usorum folder vel cum parametris similia "rete sententia" vel "whoami" similia praecepta spectant. Hic est fragmentum respondentis :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themIn fiducia, omnes suspiciosi mores in una regula comprehenduntur, quia pleraeque actiones non specificae ad minas particulares sunt, sed suspecti in complexu et in 99% causarum propter non omnino nobiles usus. Index actionum haec includit, sed non limitatur ad;
- Processus currentes ex locis insolitis, ut folders temporalis usoris.
- Nota processus systematis cum hereditate suspecta - nonnullae minae nomine uti possunt processuum systematis latentes manere.
- Supplicia suspecta instrumentorum administrativi sicut cmd vel PsExec cum documentorum systematis vel hereditatis suspecti loci utuntur.
- Suspecta umbra exemplum operationes sunt mores communes virus redemptionis antequam systema encrypting; tergum occidunt:
- Via vssadmin.exe;
β Via WMI. - Subcriptio aeri totius registri alvearia.
- Motus horizontalis mali codicis cum processu remotius utendi mandata ut at.exe educitur.
- Suspectus coetus localis operationes et operationes domain utentes net.exe.
- Firewall suspectum actio utendi netsh.exe.
- AcL suspectum flexibus.
- FRAGMENTA utens pro notitia exfiltration.
- Suspectas machinationes cum WMI.
- Suspiciosum scriptionem jubet.
- Conatus ad effundite secure ratio files.
Composita regula optime operatur minas deprehendendas sicut RUYK, LockerGoga et alia redemptio, malware et instrumenta cybercrima. Regula probata est a venditore in ambitibus producendis falsa positiva obscurare. Et gratias SIGMA incepti, plerique ex his indicibus minimum numerum eventuum strepitus efficiunt.
Quod In hac regula vigilantia intrusa est, potes responsionem scripturam facere sicut reactionem ad minas. Unum ex in scriptis aedificatum uti potes vel creare tuum et intrusum sponte distribuere.
Praeterea, omnia telemetria relatas potes inspicere: PowerShell scripta, processus exsecutionis, negotium actis manipulationes, WMI activitatem administrativam et his utere ad post mortes in incidentibus securitatis.
Intrust has hundredas alias regulas, aliquas;
- Deprehensio in PowerShell downgrade impetum est cum aliquis consulto utitur antiquiori versione PowerShell quia... in antiquiore versione nihil erat audiendi quidnam esset.
- Summus privilegium logon deprehensio est cum rationes quae membra cuiusdam coetus privilegiati (ut administratores domain) log in workstations per accidens vel propter eventus securitatis.
Inmitte permittit te ut optimis artibus securitatem adhibeas in forma detectionis praedefinitae et responsionis regulae. Et si aliter aliquid operari putas, potes exemplar tuum facere regulae et sicut opus configurare. Applicationem submittere potes pro ducendo gubernatore vel obtinendae distributionis kits cum licentiis temporalibus per nostro loco.
Subscribe to our edimus breves notas et nexus iucundos ibi.
Lege nostra alia vasa in notitia securitatis:
(vulgaris epistula)
Source: www.habr.com