حملن جي سڀ کان وڌيڪ عام قسمن مان هڪ آهي هڪ وڻ ۾ مڪمل طور تي قابل احترام عمل جي تحت خراب عمل جو جنم. قابل عمل فائل جو رستو مشڪوڪ ٿي سگھي ٿو: مالويئر اڪثر ڪري AppData يا Temp فولڊر استعمال ڪندو آهي، ۽ اهو جائز پروگرامن لاءِ عام ناهي. منصفانه هجڻ لاء، اهو چوڻ جي قابل آهي ته ڪجهه خودڪار تازه ڪاري افاديت تي عمل ڪيو ويو آهي AppData ۾، تنهنڪري صرف لانچ جي جڳهه کي جانچڻ ڪافي ناهي ته پروگرام بدسلوڪي آهي.
قانونيت جو هڪ اضافي عنصر هڪ cryptographic دستخط آهي: ڪيترائي اصل پروگرام وينڊر طرفان دستخط ٿيل آهن. توھان حقيقت کي استعمال ڪري سگھو ٿا ته مشڪوڪ شروعاتي شيون جي سڃاڻپ لاء ھڪڙي طريقي جي طور تي ڪو دستخط نه آھي. پر پوءِ وري اتي مالويئر آھي جيڪو پاڻ کي سائن ڪرڻ لاءِ چوري ٿيل سرٽيفڪيٽ استعمال ڪري ٿو.
توھان پڻ چيڪ ڪري سگھو ٿا MD5 يا SHA256 cryptographic hashes جو قدر، جيڪو ٿي سگھي ٿو ڪجھ اڳي معلوم ڪيل مالويئر سان. توھان پروگرام ۾ دستخطن کي ڏسڻ سان جامد تجزيو انجام ڏئي سگھو ٿا (يارا ضابطن يا اينٽي وائرس پروڊڪٽس کي استعمال ڪندي). هتي متحرڪ تجزيو پڻ آهي (ڪجهه محفوظ ماحول ۾ پروگرام هلائڻ ۽ ان جي عملن جي نگراني) ۽ ريورس انجنيئرنگ.
خراب عمل جا ڪيترائي نشان ٿي سگھن ٿا. هن آرٽيڪل ۾ اسين توهان کي ٻڌائينداسين ته ونڊوز ۾ لاڳاپيل واقعن جي آڊيٽنگ کي ڪيئن چالو ڪجي، اسان انهن نشانين جو تجزيو ڪنداسين جن تي ٺهيل ضابطو انحصار ڪري ٿو. مشڪوڪ عمل جي سڃاڻپ ڪرڻ لاء. InTrust آهي غير منظم ڊيٽا گڏ ڪرڻ، تجزيو ڪرڻ ۽ محفوظ ڪرڻ لاءِ، جنهن ۾ اڳ ۾ ئي سوين اڳواٽ بيان ڪيل رد عمل موجود آهن مختلف قسمن جي حملن تي.
جڏهن پروگرام شروع ٿئي ٿو، اهو ڪمپيوٽر جي ياداشت ۾ لوڊ ڪيو ويندو آهي. قابل عمل فائل ڪمپيوٽر جي هدايتن ۽ سپورٽ لائبريرين تي مشتمل آهي (مثال طور، *.dll). جڏهن هڪ عمل اڳ ۾ ئي هلندڙ آهي، اهو اضافي موضوع ٺاهي سگھي ٿو. سلسلا هڪ عمل کي اجازت ڏين ٿا ته هڪ ئي وقت هدايتن جي مختلف سيٽن تي عمل ڪن. ميموري ۾ گھڙڻ ۽ هلائڻ لاءِ خراب ڪوڊ جا ڪيترائي طريقا آھن، اچو ته انھن مان ڪجھ کي ڏسو.
بدسلوڪي عمل کي شروع ڪرڻ جو آسان طريقو اهو آهي ته صارف کي ان کي سڌو سنئون لانچ ڪرڻ لاءِ مجبور ڪيو وڃي (مثال طور، هڪ اي ميل منسلڪ مان)، پوءِ استعمال ڪريو RunOnce چيڪ ان کي لانچ ڪرڻ لاءِ هر دفعي ڪمپيوٽر کي آن ڪيو وڃي. ھن ۾ پڻ شامل آھي ”فائل بيس“ مالويئر جيڪي پاور شيل اسڪرپٽس کي رجسٽري ڪنجين ۾ محفوظ ڪن ٿيون جيڪي ٽرگر جي بنياد تي عمل ۾ اچن ٿيون. انهي حالت ۾، پاور شيل اسڪرپٽ خراب ڪوڊ آهي.
واضح طور تي هلندڙ مالويئر سان مسئلو اهو آهي ته اهو هڪ مشهور طريقو آهي جيڪو آساني سان ڳولي سگهجي ٿو. ڪجھ مالويئر وڌيڪ ھوشيار شيون ڪندا آھن، جيئن ميموري ۾ عمل شروع ڪرڻ لاءِ ٻيو عمل استعمال ڪرڻ. تنهن ڪري، هڪ پروسيس هڪ مخصوص ڪمپيوٽر جي هدايتن کي هلائڻ ۽ هلائڻ لاء هڪ قابل عمل فائل (.exe) جي وضاحت ڪندي هڪ ٻيو عمل ٺاهي سگهي ٿو.
فائل کي مڪمل رستو استعمال ڪندي بيان ڪري سگھجي ٿو (مثال طور، C:Windowssystem32cmd.exe) يا جزوي رستو (مثال طور، cmd.exe). جيڪڏهن اصل عمل غير محفوظ آهي، اهو غير قانوني پروگرامن کي هلائڻ جي اجازت ڏيندو. هڪ حملو هن طرح نظر اچي سگهي ٿو: هڪ عمل cmd.exe کي مڪمل رستو بيان ڪرڻ کان سواءِ شروع ڪري ٿو، حملو ڪندڙ پنهنجي cmd.exe کي هڪ جاءِ تي رکي ٿو ته جيئن اهو عمل ان کي جائز کان اڳ شروع ڪري. هڪ دفعو مالويئر هلندو آهي، اهو بدلي ۾ هڪ جائز پروگرام شروع ڪري سگهي ٿو (جهڙوڪ C:Windowssystem32cmd.exe) ته جيئن اصل پروگرام صحيح طريقي سان ڪم ڪرڻ جاري رکي.
پوئين حملي جي هڪ تبديلي هڪ جائز عمل ۾ DLL انجڻ آهي. جڏهن هڪ عمل شروع ٿئي ٿو، اهو لئبرريون ڳولي ٿو ۽ لوڊ ڪري ٿو جيڪي ان جي ڪارڪردگي کي وڌايو. DLL انجيڪشن استعمال ڪندي، هڪ حملو ڪندڙ هڪ بدسلوڪي لائبريري ٺاهي ٿو ساڳئي نالي سان ۽ API هڪ جائز طور تي. پروگرام هڪ بدسلوڪي لائبريري لوڊ ڪري ٿو، ۽ اهو، موڙ ۾، هڪ جائز هڪ لوڊ ڪري ٿو، ۽، ضروري طور تي، ان کي آپريشن ڪرڻ لاء سڏي ٿو. خراب لائبريري سٺي لائبريري لاءِ پراکسي طور ڪم ڪرڻ شروع ڪري ٿي.
ميموري ۾ بدسلوڪي ڪوڊ رکڻ جو هڪ ٻيو طريقو اهو آهي ته ان کي هڪ غير محفوظ عمل ۾ داخل ڪيو وڃي جيڪو اڳ ۾ ئي هلندڙ آهي. پروسيس مختلف ذريعن کان ان پٽ وصول ڪن ٿا - نيٽ ورڪ يا فائلن مان پڙهڻ. اهي عام طور تي چيڪ ڪندا آهن انهي کي يقيني بڻائڻ لاءِ ته ان پٽ جائز آهي. پر ڪجهه عملن کي مناسب تحفظ نه آهي جڏهن هدايتن تي عمل ڪيو وڃي. هن حملي ۾، ڊسڪ تي ڪا به لائبريري يا قابل عمل فائل نه آهي جنهن ۾ خراب ڪوڊ شامل آهن. هر شيءِ ميموري ۾ محفوظ ڪئي وئي آهي ۽ عمل سان گڏ استحصال ڪيو پيو وڃي.
ھاڻي اچو ته ونڊوز ۾ اھڙن واقعن جي مجموعن کي چالو ڪرڻ جي طريقي تي نظر رکون ۽ InTrust ۾ قاعدو جيڪو اهڙن خطرن جي خلاف تحفظ کي لاڳو ڪري ٿو. پهرين، اچو ته ان کي InTrust مينيجمينٽ ڪنسول ذريعي چالو ڪريون.
ضابطو استعمال ڪري ٿو پروسيس ٽريڪنگ صلاحيتون Windows OS جي. بدقسمتي سان، اهڙن واقعن جي مجموعي کي چالو ڪرڻ واضح کان پري آهي. هتي 3 مختلف گروپ پاليسي سيٽنگون آهن جيڪي توهان کي تبديل ڪرڻ جي ضرورت آهي:
ڪمپيوٽر جي ٺاھ جوڙ > پاليسيون > ونڊوز سيٽنگون > سيڪيورٽي سيٽنگون > مقامي پاليسيون > آڊٽ پاليسي > آڊٽ پروسيس ٽريڪنگ
ڪمپيوٽر جي ٺاھ جوڙ > پاليسيون > ونڊوز سيٽنگون > سيڪيورٽي سيٽنگون > ايڊوانسڊ آڊٽ پاليسي ڪنفيگريشن > آڊٽ پاليسيون > تفصيلي ٽريڪنگ > آڊٽ پروسيس ٺاھڻ
ڪمپيوٽر جي ٺاھ جوڙ > پاليسيون > انتظامي ٽيمپليٽس > سسٽم > آڊٽ پروسيس ٺاھڻ > ڪمان لائن شامل ڪريو عمل جي تخليق جي واقعن ۾
هڪ دفعو فعال ٿيڻ بعد، InTrust ضابطا توهان کي اڳئين اڻڄاتل خطرن کي ڳولڻ جي اجازت ڏين ٿا جيڪي مشڪوڪ رويي کي ظاهر ڪن ٿا. مثال طور، توهان سڃاڻپ ڪري سگهو ٿا Dridex malware. HP Bromium منصوبي جي مهرباني، اسان ڄاڻون ٿا ته هي خطرو ڪيئن ڪم ڪري ٿو.
ان جي عملن جي سلسلي ۾، Dridex استعمال ڪري ٿو schtasks.exe هڪ مقرر ڪيل ڪم ٺاهڻ لاء. ڪمانڊ لائن مان هن خاص افاديت کي استعمال ڪندي تمام مشڪوڪ رويو سمجهيو ويندو آهي؛ svchost.exe کي پيرا ميٽرن سان لانچ ڪرڻ جيڪي صارف فولڊر ڏانهن اشارو ڪن ٿا يا "نيٽ ڏيک" يا "whoami" حڪمن سان ملندڙ جلندڙ ساڳيون نظر اچن ٿا. هتي لاڳاپيل جو هڪ حصو آهي :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust ۾، سڀئي مشڪوڪ رويا ھڪڙي قاعدي ۾ شامل ڪيا ويا آھن، ڇاڪاڻتہ انھن مان گھڻا عمل ڪنھن خاص خطري سان مخصوص نه آھن، بلڪ ھڪڙي پيچيده ۾ مشڪوڪ آھن ۽ 99٪ ڪيسن ۾ مڪمل طور تي عظيم مقصدن لاء استعمال ڪيا ويا آھن. عملن جي ھن فهرست ۾ شامل آھن، پر ان تائين محدود نه آھي:
- غير معمولي جڳهن کان هلندڙ عمل، جهڙوڪ صارف عارضي فولڊر.
- مشڪوڪ وراثت سان سڃاتل سسٽم پروسيس - ڪجهه خطرا شايد سسٽم جي عمل جو نالو استعمال ڪرڻ جي ڪوشش ڪري سگھن ٿا ته جيئن اڻڄاتل رهي.
- انتظامي اوزارن جي مشڪوڪ عملن جهڙوڪ cmd يا PsExec جڏهن اهي مقامي سسٽم جي سند يا مشڪوڪ وراثت استعمال ڪندا آهن.
- مشڪوڪ شيڊ ڪاپي آپريشنز ransomware وائرس جو هڪ عام رويو آهي سسٽم کي انڪرپٽ ڪرڻ کان اڳ؛ اهي بيڪ اپ کي ماريندا آهن:
- vssadmin.exe ذريعي؛
- WMI ذريعي. - رجسٽري ڊمپ جي سڄي رجسٽري hives.
- بدسلوڪي ڪوڊ جي افقي حرڪت جڏهن هڪ عمل شروع ڪيو ويو آهي دور دراز طور تي ڪمانڊ استعمال ڪندي جهڙوڪ at.exe.
- مشڪوڪ مقامي گروپ آپريشن ۽ ڊومين آپريشن net.exe استعمال ڪندي.
- netsh.exe استعمال ڪندي مشڪوڪ فائر وال سرگرمي.
- ACL جي مشڪوڪ هٿرادو.
- ڊيٽا کي ڪڍڻ لاء BITS استعمال ڪندي.
- WMI سان مشڪوڪ manipulations.
- مشڪوڪ اسڪرپٽ حڪم.
- محفوظ سسٽم فائلن کي ڊمپ ڪرڻ جي ڪوشش.
گڏيل قاعدو خطرن کي ڳولڻ لاءِ تمام سٺو ڪم ڪري ٿو جهڙوڪ RUYK، LockerGoga ۽ ٻيون ransomware، malware ۽ cybercrime Toolkits. ضابطي جي جانچ ڪئي وئي آهي وينڊر طرفان پيداوار جي ماحول ۾ غلط مثبت کي گهٽائڻ لاءِ. ۽ SIGMA پروجيڪٽ جي مهرباني، انهن مان اڪثر اشارا گهٽ ۾ گهٽ شور واقعا پيدا ڪن ٿا.
ڇاڪاڻ ته InTrust ۾ هي هڪ مانيٽرنگ قاعدو آهي، توهان عمل ڪري سگهو ٿا جوابي اسڪرپٽ هڪ خطري جي رد عمل جي طور تي. توھان استعمال ڪري سگھوٿا ھڪڙي ٺاھيل اسڪرپٽ مان يا پنھنجو ٺاھيو ۽ InTrust خود بخود ان کي ورهائي ڇڏيندو.
ان کان علاوه، توهان سڀني واقعن سان لاڳاپيل ٽيليميٽري جو معائنو ڪري سگهو ٿا: PowerShell اسڪرپٽ، پروسيس تي عمل ڪرڻ، شيڊول ٿيل ٽاسڪ مينپوليشن، WMI انتظامي سرگرمي، ۽ انهن کي سيڪيورٽي واقعن دوران پوسٽ مارٽم لاءِ استعمال ڪريو.
InTrust جا سوين ٻيا قاعدا آھن، انھن مان ڪجھ:
- هڪ PowerShell ڊاؤنگريڊ حملي جو پتو لڳائڻ اهو آهي جڏهن ڪو ماڻهو ڄاڻي واڻي PowerShell جو پراڻو ورزن استعمال ڪري ٿو ڇاڪاڻ ته... پراڻي ورزن ۾ آڊٽ ڪرڻ جو ڪو طريقو نه هو ته ڇا ٿي رهيو آهي.
- هاءِ پرائيليج لاگ ان جي سڃاڻپ تڏهن ٿيندي آهي جڏهن اڪائونٽس جيڪي هڪ خاص مراعات يافته گروپ جا ميمبر آهن (جهڙوڪ ڊومين ايڊمنسٽريٽر) ڪم اسٽيشنن تي حادثي يا سيڪيورٽي واقعن جي ڪري لاگ ان ٿيندا آهن.
InTrust توهان کي اجازت ڏئي ٿو بهترين حفاظتي طريقا استعمال ڪرڻ جي صورت ۾ اڳواٽ طئي ٿيل چڪاس ۽ رد عمل جي ضابطن جي. ۽ جيڪڏھن توھان سمجھو ٿا ته ڪنھن شيءِ کي مختلف طريقي سان ڪم ڪرڻ گھرجي، توھان پنھنجي قاعدي جي ڪاپي ٺاھي سگھوٿا ۽ ان کي ضرورت مطابق ترتيب ڏئي سگھو ٿا. توهان هڪ پائلٽ کي منظم ڪرڻ يا عارضي لائسنس سان گڏ تقسيم کٽ حاصل ڪرڻ لاء درخواست جمع ڪري سگهو ٿا اسان جي ويب سائيٽ تي.
اسان جي رڪنيت حاصل ڪريو ، اسان اتي مختصر نوٽس ۽ دلچسپ لنڪس شايع ڪندا آهيون.
معلومات جي حفاظت تي اسان جا ٻيا مضمون پڙهو:
(مشهور مضمون)
جو ذريعو: www.habr.com