Халдлагын хамгийн түгээмэл төрлүүдийн нэг бол бүрэн хүндэтгэлтэй үйл явцын дор модонд хортой үйл явц үүсэх явдал юм. Гүйцэтгэх боломжтой файлын зам нь сэжиг төрүүлж болзошгүй: хортой програм нь ихэвчлэн AppData эсвэл Temp хавтаснуудыг ашигладаг бөгөөд энэ нь хууль ёсны програмуудын хувьд ердийн зүйл биш юм. Шударга байхын тулд зарим автомат шинэчлэлтүүдийг AppData-д гүйцэтгэдэг гэдгийг хэлэх нь зүйтэй бөгөөд програмыг хортой гэдгийг батлахын тулд эхлүүлэх байршлыг шалгах нь хангалтгүй юм.
Хууль ёсны нэмэлт хүчин зүйл бол криптограф гарын үсэг юм: олон эх программуудад үйлдвэрлэгч гарын үсэг зурдаг. Гарын үсэг байхгүй гэдгийг та сэжигтэй эхлүүлэх зүйлсийг тодорхойлох арга болгон ашиглаж болно. Гэвч хулгайлагдсан гэрчилгээг ашиглан өөрөө гарын үсэг зурах хортой програм дахин гарч ирэв.
Та мөн MD5 эсвэл SHA256 криптограф хэшүүдийн утгыг шалгах боломжтой бөгөөд энэ нь өмнө нь илрүүлсэн зарим хортой програмтай тохирч магадгүй юм. Та програмын гарын үсгийг харах замаар статик шинжилгээ хийж болно (Yara дүрэм эсвэл вирусны эсрэг бүтээгдэхүүн ашиглан). Мөн динамик шинжилгээ (ямар нэгэн аюулгүй орчинд програм ажиллуулж, түүний үйлдлийг хянах) болон урвуу инженерчлэл байдаг.
Хортой үйл явцын олон шинж тэмдэг байж болно. Энэ нийтлэлд бид Windows дахь холбогдох үйл явдлын аудитыг хэрхэн идэвхжүүлэх талаар танд хэлэх болно, бид суулгасан дүрэмд тулгуурласан шинж тэмдгүүдэд дүн шинжилгээ хийх болно. сэжигтэй үйл явцыг тодорхойлох. InTrust бол янз бүрийн төрлийн халдлагад урьдчилан тодорхойлсон хэдэн зуун хариу үйлдэл бүхий бүтэцгүй өгөгдлийг цуглуулах, шинжлэх, хадгалахад зориулагдсан.
Програмыг эхлүүлэх үед компьютерийн санах ойд ачаалагддаг. Гүйцэтгэх файл нь компьютерийн заавар, туслах сангуудыг (жишээ нь, *.dll) агуулдаг. Процесс аль хэдийн ажиллаж байгаа үед энэ нь нэмэлт хэлхээ үүсгэж болно. Threads нь процесст өөр өөр багц заавруудыг нэгэн зэрэг гүйцэтгэх боломжийг олгодог. Хортой код санах ойд нэвтэрч, ажиллах олон арга байдаг бөгөөд тэдгээрийн заримыг нь харцгаая.
Хортой процессыг эхлүүлэх хамгийн хялбар арга бол хэрэглэгчийг шууд (жишээ нь, цахим шуудангийн хавсралтаас) хүчээр эхлүүлэх, дараа нь компьютер асаалттай байх бүрт RunOnce товчлуурыг ашиглан эхлүүлэх явдал юм. Үүнд PowerShell скриптүүдийг триггер дээр суурилсан бүртгэлийн түлхүүрт хадгалдаг "файлгүй" хортой програм мөн багтана. Энэ тохиолдолд PowerShell скрипт нь хортой код юм.
Хортой програмыг илт ажиллуулж байгаатай холбоотой асуудал бол энэ нь амархан илрүүлдэг мэдэгдэж байгаа арга юм. Зарим хортой програм нь санах ойд ажиллаж эхлэхийн тулд өөр процесс ашиглах гэх мэт илүү ухаалаг зүйлсийг хийдэг. Тиймээс процесс нь тодорхой компьютерийн зааварчилгааг ажиллуулж, гүйцэтгэх боломжтой файлыг (.exe) зааж өгснөөр өөр процесс үүсгэж болно.
Файлыг бүтэн зам (жишээ нь, C:Windowssystem32cmd.exe) эсвэл хэсэгчилсэн зам (жишээ нь, cmd.exe) ашиглан зааж өгч болно. Хэрэв анхны процесс нь найдвартай биш бол энэ нь хууль бус програмуудыг ажиллуулах боломжийг олгоно. Халдлага нь иймэрхүү харагдаж болно: процесс нь бүрэн замыг зааж өгөхгүйгээр cmd.exe-г ажиллуулдаг бөгөөд халдагч өөрийн cmd.exe-г тухайн газарт байрлуулснаар процесс нь түүнийг хууль ёсныхаас өмнө эхлүүлнэ. Хортой програм ажиллаж эхэлмэгц энэ нь хууль ёсны программыг (C:Windowssystem32cmd.exe гэх мэт) ажиллуулж, анхны программ нь үргэлжлүүлэн хэвийн ажиллах болно.
Өмнөх халдлагын нэг хувилбар бол хууль ёсны процесст DLL оруулах явдал юм. Процесс эхлэхэд түүний үйл ажиллагааг өргөтгөх сангуудыг олж, ачаалдаг. DLL injection ашиглан халдагчид хууль ёсныхтой ижил нэртэй, API-тай хортой номын санг үүсгэдэг. Хөтөлбөр нь хортой номын санг ачаалдаг бөгөөд энэ нь эргээд хууль ёсны номын санг ачаалж, шаардлагатай бол үйлдлийг гүйцэтгэхийн тулд дууддаг. Хортой номын сан нь сайн номын сангийн прокси болж эхэлдэг.
Хортой кодыг санах ойд оруулах өөр нэг арга бол аль хэдийн ажиллаж байгаа аюултай процесс руу оруулах явдал юм. Процессууд нь янз бүрийн эх сурвалжаас оролт хүлээн авдаг - сүлжээ эсвэл файлаас унших. Тэд оролт нь хууль ёсны эсэхийг шалгахын тулд ихэвчлэн шалгалт хийдэг. Гэхдээ зарим процессууд нь зааврыг гүйцэтгэх үед зохих хамгаалалтгүй байдаг. Энэ халдлагад дискэн дээр ямар ч номын сан эсвэл хортой код агуулсан гүйцэтгэх файл байхгүй байна. Бүх зүйл ашиглаж байгаа процессын хамт санах ойд хадгалагддаг.
Одоо Windows дээр ийм үйл явдлуудыг цуглуулахыг идэвхжүүлэх аргачлал болон ийм аюулаас хамгаалах InTrust дахь дүрмийг авч үзье. Эхлээд үүнийг InTrust удирдлагын консолоор идэвхжүүлье.
Дүрэм нь Windows үйлдлийн системийн үйл явцыг хянах чадварыг ашигладаг. Харамсалтай нь ийм үйл явдлыг цуглуулах нь тийм ч ойлгомжтой биш юм. Бүлгийн бодлогын 3 өөр тохиргоог өөрчлөх шаардлагатай:
Компьютерийн тохиргоо > Бодлого > Windows тохиргоо > Аюулгүй байдлын тохиргоо > Орон нутгийн бодлого > Аудитын бодлого > Аудитын үйл явцыг хянах
Компьютерийн тохиргоо > Бодлого > Windows тохиргоо > Аюулгүй байдлын тохиргоо > Аудитын дэвшилтэт бодлогын тохиргоо > Аудитын бодлого > Нарийвчилсан хяналт > Аудитын процесс үүсгэх
Компьютерийн тохиргоо > Бодлого > Захиргааны загвар > Систем > Процесс үүсгэх аудит > Процесс үүсгэх үйл явдалд командын мөрийг оруулах
Идэвхжүүлсний дараа InTrust дүрмүүд нь сэжигтэй зан үйлийг харуулсан урьд өмнө мэдэгдээгүй аюулыг илрүүлэх боломжийг танд олгоно. Жишээлбэл, та тодорхойлж болно Dridex хортой програм. HP Bromium төслийн ачаар бид энэ аюул хэрхэн ажилладагийг мэднэ.
Dridex үйлдлийнхээ гинжин хэлхээнд schtasks.exe-г ашигладаг бөгөөд хуваарьтай даалгавар үүсгэдэг. Командын мөрөөс энэ хэрэгслийг ашиглах нь маш сэжигтэй үйлдэл гэж тооцогддог; svchost.exe-г хэрэглэгчийн хавтас руу чиглүүлдэг параметрүүд эсвэл "цэвэр харах" эсвэл "whoami" командуудтай төстэй параметрүүдтэй ажиллуулах нь ижил төстэй харагдаж байна. Энд харгалзах хэсэг байна :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust-д бүх сэжигтэй зан үйлийг нэг дүрэмд багтаасан байдаг, учир нь эдгээр үйлдлүүдийн ихэнх нь тодорхой аюул заналхийлэлд хамаарахгүй, харин цогц байдлаар сэжигтэй байдаг бөгөөд тохиолдлын 99% нь бүхэлдээ эрхэм зорилгод ашиглагддаггүй. Энэхүү үйлдлийн жагсаалтад дараахь зүйлс орно, гэхдээ үүгээр хязгаарлагдахгүй.
- Хэрэглэгчийн түр хавтас гэх мэт ер бусын байршлаас ажиллаж байгаа процессууд.
- Сэжигтэй удамшил бүхий сайн мэддэг системийн процесс - зарим аюул занал нь илрэхгүй байхын тулд системийн процессуудын нэрийг ашиглахыг оролдож болно.
- Орон нутгийн системийн итгэмжлэл эсвэл сэжигтэй өв залгамжлалыг ашиглах үед cmd эсвэл PsExec зэрэг захиргааны хэрэгслүүдийн сэжигтэй гүйцэтгэл.
- Сэжигтэй сүүдэр хуулбарлах үйлдэл нь системийг шифрлэхээс өмнө ransomware вирусын нийтлэг үйлдэл бөгөөд нөөцлөлтийг устгадаг:
- vssadmin.exe-ээр дамжуулан;
- WMI-ээр дамжуулан. - Бүхэл бүтэн бүртгэлийн үүрний овоолгыг бүртгэх.
- At.exe гэх мэт командуудыг ашиглан процессыг алсаас эхлүүлэх үед хортой кодын хэвтээ хөдөлгөөн.
- net.exe ашиглан сэжигтэй локал бүлгийн үйлдлүүд болон домайн үйлдлүүд.
- netsh.exe ашиглан галт ханын сэжигтэй үйл ажиллагаа.
- ACL-ийн сэжигтэй манипуляци.
- Өгөгдөл гадагшлуулахад BITS ашиглах.
- WMI-ийн сэжигтэй заль мэх.
- Сэжигтэй скрипт командууд.
- Аюулгүй системийн файлуудыг задлах оролдлого.
Хосолсон дүрэм нь RUYK, LockerGoga болон бусад ransomware, хортой програм, кибер гэмт хэргийн хэрэгсэл зэрэг аюулыг илрүүлэхэд маш сайн ажилладаг. Хуурамч эерэг үр дүнг багасгахын тулд уг дүрмийг худалдагч үйлдвэрлэлийн орчинд туршиж үзсэн. Мөн SIGMA төслийн ачаар эдгээр үзүүлэлтүүдийн ихэнх нь хамгийн бага хэмжээний дуу чимээ үүсгэдэг.
Учир нь InTrust-д энэ бол хяналтын дүрэм бөгөөд та аюул заналхийллийн хариу үйлдэл болгон хариу скриптийг ажиллуулж болно. Та суулгасан скриптүүдийн аль нэгийг ашиглах эсвэл өөрөө үүсгэх боломжтой бөгөөд InTrust үүнийг автоматаар түгээх болно.
Нэмж дурдахад, та үйл явдалтай холбоотой бүх телеметрийг шалгаж болно: PowerShell скриптүүд, үйл явцын гүйцэтгэл, хуваарьт даалгавар, WMI захиргааны үйл ажиллагаа, мөн аюулгүй байдлын ослын дараах үхэлд ашиглах боломжтой.
InTrust нь өөр хэдэн зуун дүрэмтэй бөгөөд тэдгээрийн зарим нь:
- Хэн нэгэн PowerShell-ийн хуучин хувилбарыг зориудаар ашиглах үед PowerShell-ийн түвшний бууралтын халдлагыг илрүүлэх нь... хуучин хувилбарт юу болж байгааг шалгах ямар ч боломжгүй байсан.
- Өндөр эрх бүхий нэвтрэлтийн илрүүлэлт нь тодорхой давуу эрхтэй бүлгийн гишүүд (домайны администраторууд гэх мэт) бүртгэлүүд санамсаргүй байдлаар эсвэл аюулгүй байдлын ослын улмаас ажлын станц руу нэвтэрсэн үед юм.
InTrust нь урьдчилан тодорхойлсон илрүүлэх, хариу үйлдэл үзүүлэх дүрмийн хэлбэрээр аюулгүй байдлын шилдэг туршлагыг ашиглах боломжийг танд олгоно. Хэрэв та ямар нэг зүйл өөрөөр ажиллах ёстой гэж бодож байгаа бол дүрмийн хуулбарыг хийж, шаардлагатай бол тохируулж болно. Та туршилт явуулах эсвэл түр лицензтэй түгээлтийн иж бүрдэл авах хүсэлтээ гаргаж болно манай вэбсайт дээр.
Манайд бүртгүүлнэ үү , бид тэнд богино тэмдэглэл, сонирхолтой холбоосуудыг нийтэлдэг.
Мэдээллийн аюулгүй байдлын талаарх манай бусад нийтлэлийг уншина уу:
(алдартай нийтлэл)
Эх сурвалж: www.habr.com