د بریدونو یو له خورا عام ډولونو څخه په بشپړ ډول د درناوي پروسې لاندې په ونه کې د ناوړه پروسې رامینځته کول دي. د اجرا وړ فایل ته لاره ممکن شکمن وي: مالویر اکثرا د AppData یا Temp فولډر کاروي، او دا د مشروع برنامو لپاره عادي ندي. د عادلانه کیدو لپاره ، دا د ویلو ارزښت لري چې ځینې اتوماتیک اپډیټ اسانتیاوې په AppData کې اجرا کیږي ، نو یوازې د لانچ ځای چیک کول کافي ندي چې تایید کړي چې برنامه ناوړه ده.
د مشروعیت یو اضافي فاکتور یو کریپټوګرافیک لاسلیک دی: ډیری اصلي برنامې د پلورونکي لخوا لاسلیک کیږي. تاسو کولی شئ دا حقیقت وکاروئ چې د شکمن پیل توکي پیژندلو لپاره د میتود په توګه هیڅ لاسلیک شتون نلري. مګر بیا بیا مالویر شتون لري چې د خپل ځان لاسلیک کولو لپاره غلا شوي سند کاروي.
تاسو کولی شئ د MD5 یا SHA256 کریپټوګرافیک هشونو ارزښت هم چیک کړئ ، کوم چې ممکن د ځینې دمخه کشف شوي مالویر سره مطابقت ولري. تاسو کولی شئ په برنامه کې د لاسلیکونو په کتلو سره جامد تحلیل ترسره کړئ (د یارا قواعدو یا انټي ویروس محصولاتو په کارولو سره). دلته متحرک تحلیل هم شتون لري (په یو خوندي چاپیریال کې د برنامه چلول او د هغې د کړنو څارنه) او ریورس انجینري.
د ناوړه پروسې ډیری نښې شتون لري. پدې مقاله کې به موږ تاسو ته ووایو چې څنګه په وینډوز کې د اړونده پیښو پلټنه فعاله کړو، موږ به هغه نښې وڅیړو چې جوړ شوی قاعده تکیه کوي. د شکمن پروسې پیژندلو لپاره. InTrust دی د غیر منظم معلوماتو راټولولو، تحلیل او ذخیره کولو لپاره، کوم چې دمخه د مختلفو ډولونو بریدونو په اړه په سلګونو مخکینۍ تعاملات لري.
کله چې برنامه پیل شي ، دا د کمپیوټر حافظې کې بار کیږي. د اجرا وړ فایل د کمپیوټر لارښوونې او ملاتړ کونکي کتابتونونه لري (د مثال په توګه، *.dll). کله چې یوه پروسه لا دمخه روانه وي، دا کولی شي اضافي تارونه رامینځته کړي. تارونه یو پروسې ته اجازه ورکوي چې په ورته وخت کې د لارښوونو مختلف سیټونه اجرا کړي. د حافظې د ننوتلو او چلولو لپاره د ناوړه کوډ لپاره ډیری لارې شتون لري، راځئ چې ځینې یې وګورو.
د ناوړه پروسې پیل کولو ترټولو اسانه لار دا ده چې کاروونکي دې ته اړ کړي چې مستقیم یې پیل کړي (د مثال په توګه، د بریښنالیک ضمیمه څخه)، بیا د RunOnce کیلي وکاروئ هرکله چې کمپیوټر چالان شي. پدې کې "بې فایل" مالویر هم شامل دی چې د راجسټری کیلي کې د پاور شیل سکریپټونه ذخیره کوي چې د محرک پراساس اجرا کیږي. په دې حالت کې، د PowerShell سکریپټ ناوړه کوډ دی.
په ښکاره ډول د مالویر چلولو ستونزه دا ده چې دا یو پیژندل شوی طریقه ده چې په اسانۍ سره کشف کیږي. ځینې مالویر ډیر هوښیار شیان ترسره کوي، لکه په حافظه کې د اجرا کولو پیل کولو لپاره د بلې پروسې کارول. له همدې امله، یوه پروسه کولی شي د ځانګړي کمپیوټر لارښوونې په چلولو او د چلولو لپاره د اجرا وړ فایل (.exe) مشخص کولو سره بله پروسه رامینځته کړي.
فایل د بشپړې لارې په کارولو سره مشخص کیدی شي (د مثال په توګه، C:Windowssystem32cmd.exe) یا جزوی لاره (د مثال په توګه، cmd.exe). که اصلي پروسه ناامنه وي، نو دا به غیرقانوني پروګرامونو ته اجازه ورکړي. برید داسې ښکاري: یوه پروسه د بشپړې لارې مشخص کولو پرته cmd.exe پیلوي، برید کوونکی خپل cmd.exe په یو ځای کې ځای په ځای کوي ترڅو پروسه د مشروع څخه مخکې پیل کړي. یوځل چې مالویر چلیږي ، دا کولی شي په بدل کې یو مشروع برنامه پیل کړي (لکه C:Windowssystem32cmd.exe) ترڅو اصلي برنامه سم کار ته دوام ورکړي.
د پخواني برید یو توپیر په قانوني پروسې کې د DLL انجیکشن دی. کله چې یوه پروسه پیل شي، دا کتابتونونه لټوي او باروي چې خپل فعالیت پراخوي. د DLL انجیکشن په کارولو سره ، برید کونکی د ورته نوم او API سره د مشروع په توګه ناوړه کتابتون رامینځته کوي. برنامه یو ناوړه کتابتون باروي ، او دا په پایله کې یو مشروع بار بار کوي ، او که اړتیا وي ، د عملیاتو ترسره کولو لپاره یې زنګ وهي. ناوړه کتابتون د ښه کتابتون لپاره د پراکسي په توګه عمل پیل کوي.
په حافظه کې د ناوړه کوډ اچولو بله لاره دا ده چې دا په یوه ناامنه پروسې کې دننه کړئ چې دمخه روانه ده. پروسې د مختلفو سرچینو څخه معلومات ترلاسه کوي - د شبکې یا فایلونو لوستل. دوی عموما یو چک ترسره کوي ترڅو ډاډ ترلاسه کړي چې آخذه قانوني ده. مګر ځینې پروسې د لارښوونو پلي کولو پر مهال مناسب محافظت نلري. پدې برید کې ، په ډیسک یا د اجرا وړ فایل کې هیڅ کتابتون شتون نلري چې ناوړه کوډ ولري. هر څه په حافظه کې ساتل کیږي او د پروسې څخه کار اخیستل کیږي.
اوس راځئ چې په وینډوز کې د داسې پیښو راټولولو لپاره میتودولوژي او په InTrust کې قواعد وګورو چې د ورته ګواښونو پروړاندې محافظت پلي کوي. لومړی، راځئ چې دا د InTrust مدیریت کنسول له لارې فعال کړو.
قاعده د وینډوز OS د پروسې تعقیب وړتیاوې کاروي. له بده مرغه، د داسې پیښو د راټولولو وړ کول له څرګند څخه لرې دي. دلته 3 مختلف ګروپ پالیسي تنظیمات شتون لري چې تاسو یې بدلولو ته اړتیا لرئ:
د کمپیوټر ترتیب> پالیسۍ> وینډوز ترتیبات> امنیت ترتیبات> ځایی پالیسۍ> د پلټنې پالیسي> د پلټنې پروسې تعقیب
د کمپیوټر ترتیب> پالیسۍ> د وینډوز ترتیبات> امنیتي ترتیبات> د پلټنې پرمختللې پالیسي ترتیبول> د پلټنې پالیسۍ> تفصيلي تعقیب> د پلټنې پروسې جوړول
د کمپیوټر ترتیب> پالیسۍ> اداري ټیمپلیټونه> سیسټم> د پلټنې پروسې رامینځته کول> د پروسې رامینځته کولو پیښو کې د کمانډ لاین شامل کړئ
یوځل چې فعال شو، د InTrust قواعد تاسو ته اجازه درکوي چې مخکیني نامعلوم ګواښونه کشف کړئ چې شکمن چلند څرګندوي. د مثال په توګه، تاسو کولی شئ په نښه کړئ Dridex مالویر. د HP برومیم پروژې څخه مننه، موږ پوهیږو چې دا ګواښ څنګه کار کوي.
د دې د عملونو سلسله کې، Dridex د ټاکل شوي دندې رامینځته کولو لپاره schtasks.exe کاروي. د کمانډ لاین څخه د دې ځانګړي افادیت کارول خورا شکمن چلند ګڼل کیږي؛ د پیرامیټونو سره د svchost.exe پیل کول چې د کارونکي فولډرونو ته اشاره کوي یا د "نیټ لید" یا "whoami" کمانډونو ته ورته پیرامیټرو سره ورته ښکاري. دلته د اړونده برخه ده :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themپه InTrust کې، ټول شکمن چلند په یوه قاعده کې شامل دي، ځکه چې ډیری دا کړنې د یو ځانګړي ګواښ لپاره ځانګړي ندي، بلکې په یوه پیچلي کې شکمن دي او په 99٪ مواردو کې په بشپړ ډول د سترو موخو لپاره کارول کیږي. د کړنو په دې لیست کې شامل دي، مګر محدود ندي:
- پروسې له غیر معمولي ځایونو څخه تیریږي ، لکه د کارونکي لنډمهاله فولډرې.
- د شکمن میراث سره د پیژندل شوي سیسټم پروسې - ځینې ګواښونه ممکن د سیسټم پروسې نوم کارولو هڅه وکړي ترڅو کشف نشي.
- د اداري وسیلو شکمن اعدامونه لکه cmd یا PsExec کله چې دوی د محلي سیسټم اعتبار یا شکمن میراث کاروي.
- د شکمن سیوري کاپي عملیات د سیسټم کوډ کولو دمخه د ransomware ویروسونو یو عام چلند دی؛ دوی بیک اپ وژني:
- د vssadmin.exe له لارې؛
- د WMI له لارې. - د ټول راجستری پټیو ډمپونه ثبت کړئ.
- د ناوړه کوډ افقی حرکت کله چې پروسه په لرې ډول د کمانډونو لکه at.exe په کارولو سره پیل شي.
- د net.exe په کارولو سره د شکمن محلي ګروپ عملیات او د ډومین عملیات.
- د netsh.exe په کارولو سره د مشکوک فایروال فعالیت.
- د ACL شکمن لاسوهنه.
- د ډیټا ایستلو لپاره د BITS کارول.
- د WMI سره شکمن لاسوهنه.
- د شکمن سکریپټ امرونه.
- د خوندي سیسټم فایلونو ډمپ کولو هڅه.
ګډ قاعده د ګواښونو موندلو لپاره خورا ښه کار کوي لکه RUYK، LockerGoga او نور ransomware، مالویر او د سایبر کرایم اوزار. قاعده د تولید چاپیریال کې د پلورونکي لخوا ازمول شوې ترڅو غلط مثبتونه کم کړي. او د سیګما پروژې څخه مننه، ډیری دا شاخصونه لږ تر لږه د شور پیښو تولیدوي.
ځکه په InTrust کې دا د څارنې قاعده ده، تاسو کولی شئ د ګواښ په وړاندې د غبرګون په توګه د ځواب سکریپټ اجرا کړئ. تاسو کولی شئ یو له جوړ شوي سکریپټونو څخه کار واخلئ یا خپل ځان جوړ کړئ او InTrust به یې په اوتومات ډول توزیع کړي.
سربیره پردې ، تاسو کولی شئ د پیښې پورې اړوند ټول ټیلی میټري معاینه کړئ: د پاور شیل سکریپټونه ، د پروسې اجرا کول ، ټاکل شوي دندې لاسوهنې ، د WMI اداري فعالیت ، او د امنیتي پیښو پرمهال د پوسټ مارټم لپاره یې وکاروئ.
InTrust په سلګونو نور قواعد لري، ځینې یې:
- د PowerShell ښکته درجې برید کشف کول هغه وخت دي کله چې یو څوک په قصدي ډول د PowerShell پخوانی نسخه کاروي ځکه چې ... په زاړه نسخه کې د پلټنې لپاره کومه لاره نه وه چې څه پیښ شوي.
- د لوړ امتیاز د ننوتلو کشف هغه وخت دی چې هغه حسابونه چې د یو ځانګړي امتیاز لرونکي ګروپ غړي وي (لکه د ډومین مدیران) د تصادفي یا امنیتي پیښو له امله کاري سټیشنونو ته ننوتل.
InTrust تاسو ته اجازه درکوي غوره امنیتي کړنې وکاروئ د مخکې تعریف شوي کشف او عکس العمل قواعدو په بڼه. او که تاسو فکر کوئ چې یو څه باید په بل ډول کار وکړي، تاسو کولی شئ د خپل قانون کاپي جوړه کړئ او د اړتیا سره سم یې تنظیم کړئ. تاسو کولی شئ د پیلوټ ترسره کولو یا د لنډمهاله جوازونو سره د توزیع کټونو ترلاسه کولو لپاره غوښتنلیک وسپارئ زموږ په ویب پا onه کې.
زموږ سره ګډون وکړئ موږ هلته لنډ یادښتونه او په زړه پوري لینکونه خپروو.
د معلوماتو امنیت په اړه زموږ نورې مقالې ولولئ:
(مشهور مقاله)
سرچینه: www.habr.com