ProHoster > Блог > Whakahaerenga > Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Ko tetahi o nga momo whakaeke ko te whakatipu i tetahi mahi kino i roto i te rakau i raro i nga tikanga whakaute. Ko te ara ki te konae ka taea te mahi whakapae: he maha nga wa ka whakamahia e te malware nga kōpaki AppData, Temp ranei, a ehara tenei i te tikanga mo nga kaupapa tika. Ki te tika, he mea tika te kii kei te mahia etahi taputapu whakahou aunoa i roto i te AppData, na ko te tirotiro noa i te waahi whakarewanga kaore e ranea ki te whakaū he kino te kaupapa.

Ko tetahi atu take o te tika ko te hainatanga cryptographic: he maha nga kaupapa taketake kua hainatia e te kaihoko. Ka taea e koe te whakamahi i te meka kaore he hainatanga hei tikanga mo te tautuhi i nga mea whakaoho hihira. Engari ano he malware e whakamahi ana i tetahi tiwhikete tahae hei haina i a ia ano.

Ka taea hoki e koe te tirotiro i te uara o te MD5, SHA256 ranei nga hashes cryptographic, e rite ana pea ki etahi kino kua kitea i mua. Ka taea e koe te mahi tātari pateko ma te titiro ki nga hainatanga i roto i te kaupapa (ma te whakamahi i nga ture Yara me nga hua wheori). He wetewete hihiko ano (te whakahaere kaupapa i roto i etahi taiao haumaru me te aro turuki i ana mahi) me te hangahanga whakamuri.

He maha nga tohu o te mahi kino. I roto i tenei tuhinga ka korero matou ki a koe me pehea e taea ai te tirotiro i nga huihuinga e tika ana i roto i te Matapihi, ka tātarihia e matou nga tohu e whakawhirinaki ana te ture i roto. InTrust ki te tautuhi i tetahi tukanga whakapae. Ko InTrust CLM turanga mo te kohikohi, te wetewete me te penapena i nga raraunga kaore i hangai, he maha nga tauhohenga kua tautuhia i mua ki nga momo whakaeke.

Ina whakarewahia te papatono, ka utaina ki te mahara o te rorohiko. Kei roto i te konae kawe nga tohutohu rorohiko me nga whare pukapuka tautoko (hei tauira, *.dll). I te wa e whakahaere ana tetahi tukanga, ka taea e ia te hanga miro taapiri. Ka taea e nga miro he tukanga ki te whakahaere i nga huinga tohutohu rereke i te wa kotahi. He maha nga huarahi mo te waehere kino ki te uru ki te mahara me te rere, me titiro ki etahi.

Ko te huarahi ngawari ki te whakarewa i tetahi mahi kino ko te akiaki i te kaiwhakamahi ki te whakarewa tika (hei tauira, mai i te taapiri imeera), ka whakamahi i te taviri RunOnce ki te whakarewa i nga wa katoa e ka ana te rorohiko. Kei roto hoki i tenei ko te kino "kore konae" e pupuri ana i nga tuhinga PowerShell ki nga taviri rehita ka mahia i runga i te keu. I tenei keehi, he waehere kino te tuhinga PowerShell.

Ko te raru o te whakahaere kino kino ko te huarahi mohio ka kitea ngawari. Ko etahi o nga malware ka nui ake te mohio, penei i te whakamahi i tetahi atu tukanga hei timata ki te mahi i roto i te mahara. Na reira, ka taea e tetahi tukanga te hanga i tetahi atu tukanga ma te whakahaere i tetahi tohutohu rorohiko motuhake me te tautuhi i tetahi konae ka taea te whakahaere (.exe) hei whakahaere.

Ka taea te tautuhi i te konae ma te whakamahi i te ara katoa (hei tauira, C:Windowssystem32cmd.exe) he ara waahanga ranei (hei tauira, cmd.exe). Mēnā he hē te hātepe taketake, ka taea e ia te whakahaere i ngā kaupapa kore ture. Ko te ahua o te whakaeke he penei: ka whakarewahia te cmd.exe me te kore e tohu i te huarahi katoa, ka tuu te kaitawhai i tana cmd.exe ki tetahi waahi kia whakarewahia e te tukanga i mua i te mea tika. Kia rere te malware, ka taea e ia te whakarewa i tetahi kaupapa tika (penei i te C:Windowssystem32cmd.exe) kia pai tonu te mahi o te kaupapa taketake.

Ko te rereketanga o te whakaeke o mua ko te werohanga DLL ki tetahi tukanga tika. Ina timata te mahi, ka kitea, ka utaina e ia nga whare pukapuka e whakaroa ana i tana mahi. Ma te whakamahi i te werohanga DLL, ka hangaia e te kaiwhaiwhai he whare pukapuka kino me te ingoa kotahi me te API hei mea tika. Ka utaina e te papatono he whare pukapuka kino, a, ka utaina e ia he mea tika, a, i te mea e tika ana, ka karangahia kia mahia nga mahi. Ka timata te whare pukapuka kino ki te mahi hei takawaenga mo te whare pukapuka pai.

Ko tetahi atu huarahi ki te whakauru i te waehere kino ki roto i te mahara ko te whakauru ki roto i tetahi tukanga haumaru kei te rere ke. Ka whiwhi whakaurunga mai i nga momo puna - panui mai i te whatunga, i nga konae ranei. Ko te tikanga ka mahia e ratou he haki ki te whakarite he tika te whakaurunga. Engari ko etahi o nga tukanga karekau he whakamarumaru tika ina mahia nga tohutohu. I tenei whakaeke, karekau he whare pukapuka i runga i te kōpae, i te konae kawe ranei kei roto he waehere kino. Kei te rongoa nga mea katoa ki roto i te mahara me te tukanga e whakamahia ana.

Inaianei ka titiro tatou ki te tikanga mo te whakaahei i te kohi o enei huihuinga ki Windows me te ture i roto i te InTrust e whakamarumaru ana ki aua whakatumatuma. Tuatahi, me whakahohe ma te papatohu whakahaere InTrust.

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Ka whakamahia e te ture nga kaha ki te aroturuki i te tukanga o Windows OS. Ko te mea pouri, ko te whakaahei i te kohi o enei huihuinga kaore e tino kitea. E 3 nga tautuhinga Kaupapahere Rōpū rereke me whakarereke e koe:

Whirihoranga Rorohiko > Kaupapahere > Tautuhinga Matapihi > Tautuhinga Haumarutanga > Kaupapa Here-a-rohe > Kaupapa Here Kaute > Aroturuki tukanga arotake

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Whirihoranga Rorohiko > Kaupapahere > Tautuhinga Matapihi > Tautuhinga Haumarutanga > Whirihoranga Kaupapahere Aroturuki Arotahi > Tikanga Takitaki > Aroturuki Taipitopito > Te hanga tukanga arotake

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Whirihoranga Rorohiko > Kaupapahere > Tauira Whakahaere > Pūnaha > Hanganga Tukatuka Arotake > Whakauruhia te raina whakahau ki roto i nga kaupapa hanga tukanga

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

Ina whakahohea, ka taea e nga ture InTrust te kite koe i nga whakatumatuma kaore i mohiotia i mua e whakaatu ana i te whanonga hihira. Hei tauira, ka taea e koe te tautuhi whakaahuatia i konei Dridex malware. He mihi ki te kaupapa HP Bromium, e mohio ana matou ki te mahi o tenei riri.

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

I roto i tana rarangi mahi, ka whakamahi a Dridex schtasks.exe ki te hanga i tetahi mahi kua whakaritea. Ko te whakamahi i tenei whaipainga mai i te raina whakahau ka kiia he whanonga tino hihira; te whakarewatanga o te svchost.exe me nga tawhā e tohu ana ki nga kōpaki kaiwhakamahi me nga taapiri rite ki te "tirohanga kupenga" me nga whakahau "whoami" he rite te ahua. Anei tetahi wahanga o nga mea e rite ana Nga ture SIGMA:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

I roto i te InTrust, ka uru katoa nga whanonga hihira ki roto i te ture kotahi, na te mea ko te nuinga o enei mahi ehara i te mea motuhake ki tetahi whakatuma, engari he mea whakapae i roto i te matatini, a, i roto i te 99% o nga keehi ka whakamahia mo nga kaupapa tino rangatira. Kei roto i tenei rarangi o nga mahi, engari kaore e herea ki:

  • Ko nga tukanga e rere ana mai i nga waahi rereke, penei i nga kōpaki rangitahi kaiwhakamahi.
  • Tukatuka pūnaha rongonui me te tuku iho hihira - ka ngana etahi whakatuma ki te whakamahi i te ingoa o nga tukanga punaha kia kore e kitea.
  • Ko nga mahi ohorere o nga taputapu whakahaere penei i te cmd, PsExec ranei ina whakamahi ana ratou i nga tohu tohu punaha a-rohe, i nga taonga tuku iho ranei.
  • Ko nga mahi kape whakamarumaru he ahua noa o nga huaketo ransomware i mua i te whakamuna i tetahi punaha; ka patua e ratou nga taapiri:

    — Ma vssadmin.exe;
    - Ma te WMI.

  • Rēhitahia nga putunga o nga hives rehita katoa.
  • Ko te nekehanga whakapae o te waehere kino ina whakarewahia he mahi ma te whakamahi i nga whakahau penei i te at.exe.
  • Nga mahi a te roopu rohe me nga mahi rohe ma te whakamahi i te net.exe.
  • He mahi paahiraa hihira ma te whakamahi netsh.exe.
  • Te raweke whakapae o te ACL.
  • Te whakamahi i te BITS mo te tango raraunga.
  • Nga raweke whakapae me te WMI.
  • Nga tono tuhinga whakapae.
  • Ka ngana ki te tuku i nga konae punaha haumaru.

He pai te mahi a te ture whakakotahi ki te kite i nga riri penei i te RUYK, LockerGoga me etahi atu ransomware, malware me nga kete taputapu ipurangi. Kua whakamatauria te ture e te kaihoko i roto i nga taiao whakangao hei whakaiti i nga hua pai. Na te mihi ki te kaupapa SIGMA, ko te nuinga o enei tohu ka whakaputa i te iti o nga huihuinga haruru.

No te mea I roto i te InTrust he ture aroturuki tenei, ka taea e koe te whakahaere i tetahi tuhinga whakautu hei tauhohenga ki te riri. Ka taea e koe te whakamahi i tetahi o nga tuhinga whakauru, te hanga ranei i a koe ake ka tohatoha aunoa e InTrust.

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

I tua atu, ka taea e koe te tirotiro i nga waea waea katoa e pa ana ki nga huihuinga: nga tuhinga a PowerShell, te whakahaere i nga mahi, nga whawhe mahi kua whakaritea, nga mahi whakahaere a WMI, me te whakamahi mo nga tirotiro mate i nga wa o te haumarutanga.

Ka taea e matou te kohikohi i nga huihuinga mo te whakarewatanga o nga tukanga hihira ki Windows me te tautuhi i nga riri ma te whakamahi i te Quest InTrust

He maha atu nga ture a InTrust, etahi o enei:

  • Ko te kite i te whakaeke whakahekenga PowerShell ko te wa ka whakamahia e te tangata tetahi putanga tawhito o PowerShell na te mea... i te putanga tawhito karekau he huarahi ki te arotake i nga mahi.
  • Ko te rapunga takiuru whai mana nui ko te wa ka uru atu nga kaute he mema o tetahi roopu whai mana (penei i nga kaiwhakahaere rohe) ki nga teihana mahi na te aitua, na te raru ranei.

Ka taea e InTrust te whakamahi i nga tikanga haumarutanga pai rawa atu i roto i te ahua o nga ture rapunga me te tauhohenga. A, ki te whakaaro koe me mahi rereke tetahi mea, ka taea e koe te hanga i to ake kape o te ture me te whirihora ina hiahiatia. Ka taea e koe te tuku tono mo te whakahaere i te kaiurungi, te tiki kete tohatoha me nga raihana rangitahi puka urupare i runga i ta maatau paetukutuku.

Ohauru ki to maatau Whārangi Pukamata, ka whakaputahia e matou nga korero poto me nga hononga whakamere ki reira.

Panuihia etahi atu tuhinga mo te haumarutanga korero:

Me pehea te awhina a InTrust ki te whakaheke i te tere o nga nganatanga whakamanatanga i rahua ma te RDP

Ka kitea e matou he whakaeke ransomware, ka uru ki te kaiwhakahaere rohe ka ngana ki te aukati i enei whakaeke

He aha nga mea whaihua ka taea te tango mai i nga raarangi o te teihana mahi a Windows? (tuhinga rongonui)

Te whai i te huringa ora o nga kaiwhakamahi kaore he kutukutu, he riipene riipene ranei

Na wai i mahi? Ka whakaaunoa matou i nga arotakenga haumarutanga korero

Me pehea te whakaiti i te utu mo te mana rangatira o tetahi punaha SIEM me te aha e hiahia ana koe ki te Whakahaere Roopu Matua (CLM)

Source: will.com

Tāpiri i te kōrero