हामी विन्डोजमा संदिग्ध प्रक्रियाहरूको सुरुवातको बारेमा घटनाहरूको सङ्कलन सक्षम गर्छौं र क्वेस्ट इनट्रस्ट प्रयोग गरेर खतराहरू पहिचान गर्छौं।

आक्रमणहरूको सबैभन्दा सामान्य प्रकारहरू मध्ये एक पूर्ण रूपमा सम्मानजनक प्रक्रियाहरू अन्तर्गत रूखमा दुर्भावनापूर्ण प्रक्रियाको फैलावट हो। कार्यान्वयनयोग्य फाइलको मार्ग संदिग्ध हुन सक्छ: मालवेयरले प्राय: एपडेटा वा टेम्प फोल्डरहरू प्रयोग गर्दछ, र यो वैध कार्यक्रमहरूको लागि सामान्य होइन। निष्पक्ष हुनको लागि, यो भन्न लायक छ कि केहि स्वचालित अपडेट उपयोगिताहरू AppData मा निष्पादित छन्, त्यसैले केवल लन्च स्थान जाँच गर्न कार्यक्रम दुर्भावनापूर्ण छ भनेर पुष्टि गर्न पर्याप्त छैन।

वैधताको एक अतिरिक्त कारक एक क्रिप्टोग्राफिक हस्ताक्षर हो: धेरै मौलिक कार्यक्रमहरू विक्रेता द्वारा हस्ताक्षरित छन्। तपाईले तथ्यलाई प्रयोग गर्न सक्नुहुन्छ कि संदिग्ध स्टार्टअप वस्तुहरू पहिचान गर्नको लागि विधिको रूपमा कुनै हस्ताक्षर छैन। तर फेरि त्यहाँ मालवेयर छ जसले आफैंमा हस्ताक्षर गर्न चोरी प्रमाणपत्र प्रयोग गर्दछ।

तपाईंले MD5 वा SHA256 क्रिप्टोग्राफिक ह्यासहरूको मान पनि जाँच गर्न सक्नुहुन्छ, जुन पहिले पत्ता लगाइएको मालवेयरसँग मेल खान्छ। तपाईंले कार्यक्रममा हस्ताक्षरहरू हेरेर स्थिर विश्लेषण गर्न सक्नुहुन्छ (Yara नियम वा एन्टिभाइरस उत्पादनहरू प्रयोग गरेर)। त्यहाँ गतिशील विश्लेषण (केही सुरक्षित वातावरणमा कार्यक्रम चलाउने र यसको कार्यहरूको निगरानी) र रिभर्स इन्जिनियरिङ पनि छ।

त्यहाँ एक दुर्भावनापूर्ण प्रक्रिया को धेरै संकेत हुन सक्छ। यस लेखमा हामी तपाइँलाई विन्डोजमा सान्दर्भिक घटनाहरूको लेखा परीक्षा कसरी सक्षम गर्ने भनेर बताउनेछौं, हामी बिल्ट-इन नियममा निर्भर हुने संकेतहरूको विश्लेषण गर्नेछौं। InTrust संदिग्ध प्रक्रिया पहिचान गर्न। InTrust छ CLM प्लेटफर्म सङ्कलन, विश्लेषण र असंरचित डाटा भण्डारण गर्नका लागि, जसमा पहिले नै विभिन्न प्रकारका आक्रमणहरूमा सयौं पूर्वनिर्धारित प्रतिक्रियाहरू छन्।

जब कार्यक्रम सुरु हुन्छ, यो कम्प्युटरको मेमोरीमा लोड हुन्छ। कार्यान्वयनयोग्य फाइलले कम्प्युटर निर्देशनहरू र समर्थन गर्ने पुस्तकालयहरू समावेश गर्दछ (उदाहरणका लागि, *.dll)। जब प्रक्रिया पहिले नै चलिरहेको छ, यसले थप थ्रेडहरू सिर्जना गर्न सक्छ। थ्रेडहरूले प्रक्रियालाई एकै साथ निर्देशनहरूको विभिन्न सेटहरू कार्यान्वयन गर्न अनुमति दिन्छ। त्यहाँ धेरै तरिकाहरू छन् दुर्भावनापूर्ण कोड मेमोरी घुसाउन र चलाउनका लागि, तिनीहरूमध्ये केहीलाई हेरौं।

दुर्भावनापूर्ण प्रक्रिया सुरु गर्ने सबैभन्दा सजिलो तरिका भनेको प्रयोगकर्तालाई यसलाई सीधै सुरु गर्न बाध्य पार्नु हो (उदाहरणका लागि, इमेल एट्याचमेन्टबाट), त्यसपछि कम्प्युटर खोल्दा हरेक पटक यसलाई सुरु गर्न RunOnce कुञ्जी प्रयोग गर्नुहोस्। यसले "फाइललेस" मालवेयर पनि समावेश गर्दछ जसले रजिस्ट्री कुञ्जीहरूमा PowerShell स्क्रिप्टहरू भण्डार गर्दछ जुन ट्रिगरको आधारमा कार्यान्वयन गरिन्छ। यस अवस्थामा, PowerShell स्क्रिप्ट मालिसियस कोड हो।

स्पष्ट रूपमा मालवेयर चलिरहेको समस्या यो एक ज्ञात दृष्टिकोण हो जुन सजिलै पत्ता लगाउन सकिन्छ। केहि मालवेयरले धेरै चतुर चीजहरू गर्दछ, जस्तै मेमोरीमा कार्यान्वयन सुरु गर्न अर्को प्रक्रिया प्रयोग गरेर। तसर्थ, एक प्रक्रियाले एक विशिष्ट कम्प्युटर निर्देशन चलाएर र चलाउनको लागि कार्यान्वयनयोग्य फाइल (.exe) निर्दिष्ट गरेर अर्को प्रक्रिया सिर्जना गर्न सक्छ।

फाइललाई पूर्ण मार्ग (उदाहरणका लागि, C:Windowssystem32cmd.exe) वा आंशिक मार्ग (उदाहरणका लागि, cmd.exe) प्रयोग गरेर निर्दिष्ट गर्न सकिन्छ। यदि मूल प्रक्रिया असुरक्षित छ भने, यसले अवैध कार्यक्रमहरू चलाउन अनुमति दिनेछ। एक आक्रमण यस्तो देखिन सक्छ: प्रक्रियाले cmd.exe लाई पूर्ण मार्ग निर्दिष्ट नगरी सुरु गर्छ, आक्रमणकारीले आफ्नो cmd.exe लाई एक ठाउँमा राख्छ ताकि प्रक्रियाले यसलाई वैधानिक भन्दा पहिले लन्च गर्दछ। एकपटक मालवेयर चल्यो भने, यसले एक वैध कार्यक्रम (जस्तै C:Windowssystem32cmd.exe) सुरु गर्न सक्छ ताकि मूल कार्यक्रमले ठीकसँग काम गर्न जारी राख्छ।

अघिल्लो आक्रमणको भिन्नता एक वैध प्रक्रियामा DLL इंजेक्शन हो। जब प्रक्रिया सुरु हुन्छ, यसले यसको कार्यक्षमता विस्तार गर्ने पुस्तकालयहरू फेला पार्छ र लोड गर्छ। DLL इन्जेक्सन प्रयोग गरेर, एक आक्रमणकर्ताले वैध नाम र API को रूपमा एक दुर्भावनापूर्ण पुस्तकालय सिर्जना गर्दछ। कार्यक्रमले दुर्भावनापूर्ण पुस्तकालय लोड गर्दछ, र यो, बारीमा, वैध एक लोड गर्दछ, र आवश्यक भएमा, यसलाई सञ्चालन गर्न कल गर्दछ। खराब पुस्तकालयले राम्रो पुस्तकालयको लागि प्रोक्सीको रूपमा काम गर्न थाल्छ।

मेमोरीमा मालिसियस कोड राख्ने अर्को तरिका यसलाई पहिले नै चलिरहेको असुरक्षित प्रक्रियामा घुसाउनु हो। प्रक्रियाहरूले विभिन्न स्रोतहरूबाट इनपुट प्राप्त गर्दछ - नेटवर्क वा फाइलहरूबाट पढ्दै। इनपुट वैध छ भनी सुनिश्चित गर्न तिनीहरू सामान्यतया जाँच गर्छन्। तर निर्देशनहरू कार्यान्वयन गर्दा केही प्रक्रियाहरूमा उचित सुरक्षा हुँदैन। यस आक्रमणमा, त्यहाँ डिस्कमा कुनै पुस्तकालय वा मालिसियस कोड भएको कार्यान्वयनयोग्य फाइल छैन। सबै कुरा मेमोरीमा भण्डार गरिएको छ प्रक्रियाको शोषणको साथ।

अब विन्डोजमा त्यस्ता घटनाहरूको सङ्कलन सक्षम पार्ने विधि र InTrust मा नियमहरू हेरौं जसले त्यस्ता खतराहरू विरुद्ध सुरक्षा लागू गर्दछ। पहिले, यसलाई InTrust व्यवस्थापन कन्सोल मार्फत सक्रिय गरौं।

नियमले Windows OS को प्रक्रिया ट्र्याकिङ क्षमताहरू प्रयोग गर्दछ। दुर्भाग्यवश, त्यस्ता घटनाहरूको सङ्कलन सक्षम पार्नु स्पष्टबाट टाढा छ। त्यहाँ 3 फरक समूह नीति सेटिङहरू छन् जुन तपाईंले परिवर्तन गर्न आवश्यक छ:

कम्प्युटर कन्फिगरेसन > नीतिहरू > विन्डोज सेटिङहरू > सुरक्षा सेटिङहरू > स्थानीय नीतिहरू > लेखा परीक्षा नीति > अडिट प्रक्रिया ट्र्याकिङ

कम्प्युटर कन्फिगरेसन > नीतिहरू > विन्डोज सेटिङहरू > सुरक्षा सेटिङहरू > उन्नत लेखा परीक्षा नीति कन्फिगरेसन > अडिट नीतिहरू > विस्तृत ट्र्याकिङ > लेखा परीक्षण प्रक्रिया सिर्जना

कम्प्युटर कन्फिगरेसन > नीतिहरू > प्रशासनिक टेम्प्लेट > प्रणाली > अडिट प्रक्रिया सिर्जना > प्रक्रिया सिर्जना घटनाहरूमा कमाण्ड लाइन समावेश गर्नुहोस्

एक पटक सक्षम भएपछि, InTrust नियमहरूले तपाईंलाई शंकास्पद व्यवहार प्रदर्शन गर्ने पहिलेको अज्ञात खतराहरू पत्ता लगाउन अनुमति दिन्छ। उदाहरणका लागि, तपाईं पहिचान गर्न सक्नुहुन्छ यहाँ वर्णन गरिएको छ Dridex मालवेयर। HP ब्रोमियम परियोजनालाई धन्यवाद, हामीलाई थाहा छ यो खतरा कसरी काम गर्दछ।

यसको कार्यहरूको श्रृंखलामा, Dridex ले अनुसूचित कार्य सिर्जना गर्न schtasks.exe प्रयोग गर्दछ। कमाण्ड लाइनबाट यो विशेष उपयोगिता प्रयोग गर्दा धेरै संदिग्ध व्यवहार मानिन्छ; प्रयोगकर्ता फोल्डरहरू वा "नेट दृश्य" वा "whoami" आदेशहरूसँग मिल्दोजुल्दो प्यारामिटरहरूको साथ svchost.exe सुरु गर्नु समान देखिन्छ। यहाँ सम्बन्धित को एक टुक्रा छ SIGMA नियमहरू:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust मा, सबै संदिग्ध व्यवहारहरू एउटै नियममा समावेश गरिएको छ, किनभने यी धेरैजसो कार्यहरू कुनै विशेष खतराको लागि निर्दिष्ट हुँदैनन्, बरु एक जटिलमा संदिग्ध हुन्छन् र 99% केसहरूमा पूर्ण रूपमा महान उद्देश्यका लागि प्रयोग गरिन्छ। कार्यहरूको यो सूचीमा समावेश छ, तर सीमित छैन:

• असामान्य स्थानहरूबाट चलिरहेको प्रक्रियाहरू, जस्तै प्रयोगकर्ता अस्थायी फोल्डरहरू।
• संदिग्ध विरासतको साथ प्रख्यात प्रणाली प्रक्रिया - केहि खतराहरूले पत्ता नलागेको लागि प्रणाली प्रक्रियाहरूको नाम प्रयोग गर्ने प्रयास गर्न सक्छ।
• cmd वा PsExec जस्ता प्रशासनिक उपकरणहरूको संदिग्ध कार्यान्वयन जब तिनीहरूले स्थानीय प्रणाली प्रमाणहरू वा शंकास्पद उत्तराधिकार प्रयोग गर्छन्।
• संदिग्ध छाया प्रतिलिपि कार्यहरू प्रणाली इन्क्रिप्ट गर्नु अघि ransomware भाइरसहरूको सामान्य व्यवहार हो; तिनीहरूले ब्याकअपहरू मार्छन्:

  - vssadmin.exe मार्फत;
  - WMI मार्फत।

• सम्पूर्ण रजिस्ट्री हाइभ्सको डम्पहरू दर्ता गर्नुहोस्।
• at.exe जस्ता आदेशहरू प्रयोग गरेर टाढाबाट प्रक्रिया सुरु गर्दा मालिसियस कोडको तेर्सो आन्दोलन।
• net.exe प्रयोग गरेर शंकास्पद स्थानीय समूह सञ्चालन र डोमेन सञ्चालन।
• netsh.exe प्रयोग गरेर शंकास्पद फायरवाल गतिविधि।
• ACL को संदिग्ध हेरफेर।
• डाटा एक्सफिल्टेशनको लागि BITS प्रयोग गर्दै।
• WMI संग संदिग्ध हेरफेर।
• शंकास्पद लिपि आदेशहरू।
• सुरक्षित प्रणाली फाइलहरू डम्प गर्ने प्रयासहरू।

संयुक्त नियमले RUYK, LockerGoga र अन्य ransomware, मालवेयर र साइबर क्राइम टूलकिटहरू जस्ता खतराहरू पत्ता लगाउन धेरै राम्रोसँग काम गर्दछ। नियम झूटा सकारात्मक कम गर्न उत्पादन वातावरण मा विक्रेता द्वारा परीक्षण गरिएको छ। र सिग्मा परियोजनाको लागि धन्यवाद, यी सूचकहरू मध्ये धेरैले आवाज घटनाहरूको न्यूनतम संख्या उत्पादन गर्दछ।

किनभने InTrust मा यो एक अनुगमन नियम हो, तपाइँ एक खतरा को प्रतिक्रिया को रूप मा एक प्रतिक्रिया स्क्रिप्ट कार्यान्वयन गर्न सक्नुहुन्छ। तपाइँ निर्मित लिपिहरू मध्ये एक प्रयोग गर्न सक्नुहुन्छ वा तपाइँको आफ्नै सिर्जना गर्न सक्नुहुन्छ र InTrust ले यसलाई स्वचालित रूपमा वितरण गर्नेछ।

थप रूपमा, तपाइँ सबै घटना-सम्बन्धित टेलिमेट्री निरीक्षण गर्न सक्नुहुन्छ: PowerShell स्क्रिप्टहरू, प्रक्रिया कार्यान्वयन, अनुसूचित कार्य हेरफेर, WMI प्रशासनिक गतिविधि, र सुरक्षा घटनाहरूमा पोस्ट-मार्टमहरूको लागि तिनीहरूलाई प्रयोग गर्नुहोस्।

InTrust सँग सयौं अन्य नियमहरू छन्, ती मध्ये केही:

• PowerShell डाउनग्रेड आक्रमण पत्ता लगाउनु भनेको जब कसैले जानाजानी PowerShell को पुरानो संस्करण प्रयोग गर्दछ किनभने... पुरानो संस्करणमा के भइरहेको थियो अडिट गर्ने कुनै तरिका थिएन।
• उच्च-विशेषाधिकार लगइन पत्ता लगाउनु भनेको कुनै निश्चित विशेषाधिकार प्राप्त समूहका सदस्यहरू (जस्तै डोमेन प्रशासकहरू) का खाताहरू दुर्घटना वा सुरक्षा घटनाहरूको कारणले कार्यस्थानहरूमा लगइन हुँदा।

InTrust ले तपाईंलाई पूर्वनिर्धारित पहिचान र प्रतिक्रिया नियमहरूको रूपमा उत्तम सुरक्षा अभ्यासहरू प्रयोग गर्न अनुमति दिन्छ। र यदि तपाइँ सोच्नुहुन्छ कि केहि फरक तरिकाले काम गर्नुपर्छ, तपाइँ नियम को आफ्नै प्रतिलिपि बनाउन र आवश्यकता अनुसार कन्फिगर गर्न सक्नुहुन्छ। तपाईले पाइलट सञ्चालन गर्न वा अस्थायी इजाजतपत्रको साथ वितरण किटहरू प्राप्त गर्नको लागि आवेदन पेश गर्न सक्नुहुन्छ प्रतिक्रिया फारम हाम्रो वेबसाइट मा।

हाम्रो सदस्यता लिनुहोस् फेसबुक पेज, हामी त्यहाँ छोटो टिप्पणीहरू र रोचक लिङ्कहरू प्रकाशित गर्छौं।

सूचना सुरक्षामा हाम्रा अन्य लेखहरू पढ्नुहोस्:

कसरी InTrust ले RDP मार्फत असफल प्राधिकरण प्रयासहरूको दर घटाउन मद्दत गर्न सक्छ

हामीले ransomware आक्रमण पत्ता लगाउँछौं, डोमेन नियन्त्रकमा पहुँच प्राप्त गर्छौं र यी आक्रमणहरूको प्रतिरोध गर्ने प्रयास गर्छौं

Windows-आधारित वर्कस्टेशनको लगहरूबाट कुन उपयोगी चीजहरू निकाल्न सकिन्छ? (लोकप्रिय लेख)

चिमटा वा डक्ट टेप बिना प्रयोगकर्ताहरूको जीवनचक्र ट्र्याक गर्दै

कसले गर्यो? हामी सूचना सुरक्षा अडिटहरू स्वचालित गर्छौं

SIEM प्रणालीको स्वामित्वको लागत कसरी घटाउने र किन तपाईंलाई केन्द्रीय लग व्यवस्थापन (CLM) चाहिन्छ।

स्रोत: www.habr.com