Ny iray amin'ireo karazana fanafihana mahazatra indrindra dia ny famotehana dingana ratsy amin'ny hazo eo ambanin'ny dingana manaja tanteraka. Mety mampiahiahy ny lalana mankany amin'ny rakitra azo tanterahana: matetika mampiasa ny lahatahiry AppData na Temp ny malware, ary tsy mahazatra amin'ny programa ara-dalΓ na izany. Raha ny marina, ilaina ny milaza fa ny fitaovana fanavaozana mandeha ho azy dia tanterahina ao amin'ny AppData, ka ny fanamarinana ny toerana fandefasana dia tsy ampy hanamafisana fa ratsy ilay programa.
Antony fanampiny maha-ara-dalΓ na ny sonia kriptografika: maro ny programa tany am-boalohany nosoniavin'ny mpivarotra. Azonao atao ny mampiasa ny hoe tsy misy sonia ho fomba hamantarana ireo zavatra fanombohana mampiahiahy. Saingy misy indray ny malware izay mampiasa taratasy fanamarinana nangalatra hanasoniavana ny tenany.
Azonao atao ihany koa ny manamarina ny sandan'ny hash kriptografika MD5 na SHA256, izay mety mifanitsy amin'ny malware efa hita teo aloha. Afaka manao famakafakana static ianao amin'ny fijerena sonia ao amin'ny programa (mampiasa fitsipika Yara na vokatra antivirus). Misy ihany koa ny famakafakana mavitrika (manatanteraka fandaharana amin'ny tontolo azo antoka ary manara-maso ny asany) ary ny fanodinana fanodinana.
Mety misy famantarana maro amin'ny dingana ratsy. Ato amin'ity lahatsoratra ity dia holazainay aminao ny fomba ahafahan'ny fanaraha-maso ny hetsika mifandraika amin'ny Windows, hamakafaka ireo famantarana izay miankina amin'ny fitsipika naorina.
Rehefa atomboka ilay programa dia ampidirina ao amin'ny fitadidian'ny solosaina. Ny rakitra azo tanterahana dia misy torolalana amin'ny solosaina sy tranomboky manohana (ohatra, *.dll). Rehefa mandeha ny dingana iray dia afaka mamorona kofehy fanampiny. Ny kofehy dia ahafahan'ny dingana iray manatanteraka toromarika samihafa miaraka. Misy fomba maro ahafahan'ny code maloto miditra ao amin'ny fahatsiarovana sy mihazakazaka, andeha hojerentsika ny sasany amin'izy ireo.
Ny fomba tsotra indrindra hanombohana dingana maloto dia ny fanerena ny mpampiasa handefa azy mivantana (ohatra, avy amin'ny fametahana mailaka), dia ampiasao ny fanalahidin'ny RunOnce hanombohana azy isaky ny mandeha ny solosaina. Anisan'izany koa ny malware "tsy misy rakitra" izay mitahiry ny script PowerShell amin'ny fanalahidin'ny rejisitra izay tanterahina mifototra amin'ny trigger. Amin'ity tranga ity, ny script PowerShell dia kaody ratsy.
Ny olana amin'ny fampandehanana mazava ny malware dia fomba iray fantatra izay mora hita. Ny malware sasany dia manao zavatra marani-tsaina kokoa, toy ny fampiasana dingana hafa hanombohana ny fanatanterahana ny fitadidiana. Noho izany, ny dingana iray dia afaka mamorona dingana iray hafa amin'ny alΓ lan'ny fampandehanana torolalana amin'ny ordinatera manokana ary mamaritra ny rakitra azo tanterahana (.exe) ho mihazakazaka.
Ny rakitra dia azo faritana amin'ny alΓ lan'ny lalana feno (ohatra, C:Windowssystem32cmd.exe) na lalana ampahany (ohatra, cmd.exe). Raha toa ka tsy azo antoka ny dingana tany am-boalohany, dia ahafahan'ny programa tsy ara-dalΓ na handeha. Ny fanafihana dia mety ho toy izao: ny dingana iray dia manomboka ny cmd.exe nefa tsy mamaritra ny lalana feno, ny mpanafika dia mametraka ny cmd.exe amin'ny toerana iray ka ny dingana dia manomboka azy alohan'ny ara-dalΓ na. Rehefa mandeha ny malware dia afaka manomboka programa ara-dalΓ na izy (toy ny C:Windowssystem32cmd.exe) mba hitohizan'ny fandaharana tany am-boalohany.
Ny fiovan'ny fanafihana teo aloha dia ny fampidirana DLL ho dingana ara-dalΓ na. Rehefa manomboka ny dingana iray dia mahita sy mameno tranomboky izay manitatra ny asany. Amin'ny fampiasana DLL tsindrona, ny mpanafika dia mamorona tranomboky ratsy miaraka amin'ny anarana mitovy sy ny API ho toy ny ara-dalΓ na. Ny programa dia mameno tranomboky maloto, ary izy io kosa dia mametaka ny ara-dalΓ na, ary, raha ilaina, dia miantso azy io hanao asa. Ny tranomboky ratsy dia manomboka miasa ho toy ny mpisolo toerana ho an'ny tranomboky tsara.
Fomba iray hafa hampidirana kaody ratsy ao anaty fitadidiana ny fampidirana azy ao anaty dingana tsy azo antoka izay efa mandeha. Ny dingana dia mahazo fidirana avy amin'ny loharano isan-karazany - mamaky avy amin'ny tambajotra na rakitra. Matetika izy ireo dia manao fisavana mba hahazoana antoka fa ara-dalΓ na ny fampidirana. Saingy ny dingana sasany dia tsy manana fiarovana araka ny tokony ho izy rehefa manatanteraka toromarika. Amin'ity fanafihana ity dia tsy misy tranomboky amin'ny kapila na rakitra azo tanterahana misy kaody ratsy. Voatahiry ao anaty fitadidiana ny zava-drehetra miaraka amin'ny fizotran'ny fitrandrahana.
Andeha hojerentsika ny fomba ahafahana manangona hetsika toy izany ao amin'ny Windows sy ny fitsipika ao amin'ny InTrust izay miaro amin'ny fandrahonana toy izany. Voalohany, andao hampavitrika azy amin'ny alΓ lan'ny console fitantanana InTrust.
Ny fitsipika dia mampiasa ny fahaiza-manara-maso ny fizotran'ny Windows OS. Indrisy anefa, ny fampandehanana ny fanangonana hetsika toy izany dia tsy hita mazava. Misy firafitry ny politikan'ny vondrona 3 hafa tokony hovainao:
Fikirakirana solosaina> Politika> Windows Settings> Fikirana fiarovana> Politika eo an-toerana> Politika fanaraha-maso> Fanaraha-maso ny fizotran'ny fanaraha-maso
Fikirakirana amin'ny solosaina> Politika> Fikirana Windows> Fikirakirana fiarovana> Fanamboarana politika momba ny fanaraha-maso avo lenta> Politika fanaraha-maso> Fanaraha-maso amin'ny antsipiriany> famoronana dingana fanaraha-maso
Fikirakirana amin'ny ordinatera > Politika > Templates administratif > Rafitra > Famoronana dingana fanaraha-maso > Ampidiro ny baikon'ny baiko amin'ny hetsika famoronana dingana
Rehefa alefa, ny fitsipika InTrust dia mamela anao hamantatra ireo fandrahonana tsy fantatra taloha izay mampiseho fihetsika mampiahiahy. Ohatra, azonao atao ny mamantatra
Amin'ny rohim-pihetsika, Dridex dia mampiasa schtasks.exe hamoronana asa voalahatra. Ny fampiasana an'io fitaovana manokana avy amin'ny baikon'ny baiko io dia heverina ho fihetsika mampiahiahy; ny fandefasana svchost.exe miaraka amin'ny mari-pamantarana manondro ny lahatahiry mpampiasa na miaraka amin'ny mari-pamantarana mitovy amin'ny baiko "net view" na "whoami". Ity misy sombiny amin'ny mifanaraka
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
Ao amin'ny InTrust, ny fitondran-tena mampiahiahy rehetra dia tafiditra ao anatin'ny fitsipika iray, satria ny ankamaroan'ireo hetsika ireo dia tsy voafaritra amin'ny fandrahonana manokana, fa mampiahiahy amin'ny sarotra ary amin'ny 99% amin'ny tranga dia ampiasaina ho an'ny tanjona tsy mendrika. Ity lisitry ny hetsika ity dia ahitana, fa tsy voafetra amin'ny:
- Fizotra mandeha amin'ny toerana tsy mahazatra, toy ny lahatahiry vonjimaika mpampiasa.
- Fizotry ny rafitra fanta-daza miaraka amin'ny lova mampiahiahy - mety hanandrana hampiasa ny anaran'ny fizotry ny rafitra ny fandrahonana sasany mba tsy ho voamarika.
- Famonoana mampiahiahy amin'ny fitaovan'ny fitantanan-draharaha toy ny cmd na PsExec rehefa mampiasa ny fahazoan-dΓ lana eo an-toerana na lova mampiahiahy.
- Fihetsika mahazatra ataon'ny viriosy ransomware alohan'ny hanaovana encryption ny rafitra iray; mamono ny backup izy ireo:
β Via vssadmin.exe;
- Amin'ny WMI. - Soraty ny fanariam-pamokarana manontolo amin'ny rejisitra.
- Hetsika marindrano amin'ny kaody ratsy rehefa misy dingana atomboka amin'ny alΓ lan'ny baiko toy ny at.exe.
- Fampandehanana vondrona eo an-toerana mampiahiahy sy fampandehanana sehatra mampiasa net.exe.
- Hetsika firewall mampiahiahy mampiasa netsh.exe.
- Fanodinkodinana mampiahiahy ny ACL.
- Mampiasa BITS ho an'ny exfiltration data.
- Fanodinkodinana mampiahiahy miaraka amin'ny WMI.
- baiko script mampiahiahy.
- Miezaka manary ny rakitra rafitra azo antoka.
Ny fitsipika mitambatra dia miasa tsara mba hamantarana ny fandrahonana toy ny RUYK, LockerGoga ary ny ransomware hafa, malware ary fitaovana momba ny heloka an-tserasera. Ny fitsipika dia nosedrain'ny mpivarotra amin'ny tontolon'ny famokarana mba hampihenana ny vokatra diso. Ary noho ny tetikasa SIGMA, ny ankamaroan'ireo famantarana ireo dia mamokatra hetsika tabataba kely indrindra.
SATRIA Ao amin'ny InTrust dia fitsipika fanaraha-maso ity, azonao atao ny manatanteraka script valiny ho fanehoan-kevitra amin'ny fandrahonana. Azonao atao ny mampiasa ny iray amin'ireo sora-baventy ao anatiny na mamorona anao manokana ary ny InTrust dia hizara izany ho azy.
Ho fanampin'izay, azonao atao ny manara-maso ny telemetry rehetra mifandraika amin'ny hetsika: script PowerShell, fanatanterahana ny dingana, fanodinkodinana asa voalahatra, hetsika fitantanan-draharaha WMI, ary mampiasa azy ireo ho an'ny post-mortem mandritra ny lozam-pifamoivoizana.
InTrust dia manana fitsipika an-jatony hafa, ny sasany amin'izy ireo:
- Ny fahitana ny fanafihana fampidinana PowerShell dia rehefa misy olona minia mampiasa dikan-teny taloha amin'ny PowerShell satria... amin'ny dikan-teny taloha dia tsy nisy fomba hanamarinana ny zava-nitranga.
- Ny fitadiavana fidirana amin'ny tombontsoa ambony dia rehefa miditra ao amin'ny toeram-piasana tsy nahy na noho ny lozam-piarovana ny kaonty izay mpikambana ao amin'ny vondrona manana tombontsoa manokana (toy ny mpitantana ny sehatra).
Ny InTrust dia ahafahanao mampiasa fomba fanao fiarovana tsara indrindra amin'ny endriky ny fitsipi-pikarohana sy valiny efa voafaritra mialoha. Ary raha mieritreritra ianao fa tokony hiasa amin'ny fomba hafa ny zavatra iray, dia azonao atao ny manamboatra ny dika mitovy amin'ny fitsipikao ary manamboatra azy io araka izay ilaina. Azonao atao ny mametraka fangatahana amin'ny fitarihana mpanamory na hahazoana kitapo fanapariahana miaraka amin'ny fahazoan-dΓ lana vonjimaika amin'ny alΓ lan'ny
Misoratra anarana amin'ny anay
Vakio ny lahatsoratra hafa momba ny fiarovana ny vaovao:
Source: www.habr.com