අපි Windows හි සැක සහිත ක්‍රියාවලි දියත් කිරීම පිළිබඳ සිදුවීම් එකතු කිරීම සක්‍රීය කරන අතර Quest InTrust භාවිතයෙන් තර්ජන හඳුනා ගනිමු

වඩාත් සුලභ ආකාරයේ ප්රහාරවලින් එකක් වන්නේ සම්පූර්ණයෙන්ම ගෞරවනීය ක්රියාවලීන් යටතේ ගසක අනිෂ්ට ක්රියාවලියක් බිහි කිරීමයි. ක්‍රියාත්මක කළ හැකි ගොනුව වෙත යන මාර්ගය සැක සහිත විය හැක: අනිෂ්ට මෘදුකාංග බොහෝ විට AppData හෝ Temp ෆෝල්ඩර භාවිතා කරයි, සහ මෙය නීත්‍යානුකූල වැඩසටහන් සඳහා සාමාන්‍ය නොවේ. සාධාරණ වීමට නම්, AppData හි සමහර ස්වයංක්‍රීය යාවත්කාලීන උපයෝගිතා ක්‍රියාත්මක වන බව පැවසීම වටී, එබැවින් වැඩසටහන අනිෂ්ට බව තහවුරු කිරීමට දියත් කරන ස්ථානය පරීක්ෂා කිරීම පමණක් ප්‍රමාණවත් නොවේ.

නීත්‍යානුකූල භාවයේ අතිරේක සාධකයක් වන්නේ ගුප්ත ලේඛන අත්සනකි: බොහෝ මුල් වැඩසටහන් වෙළෙන්දා විසින් අත්සන් කර ඇත. සැක සහිත ආරම්භක අයිතම හඳුනා ගැනීම සඳහා ක්‍රමයක් ලෙස අත්සනක් නොමැති බව ඔබට භාවිතා කළ හැකිය. නමුත් නැවතත් සොරකම් කළ සහතිකයක් අත්සන් කිරීමට භාවිතා කරන අනිෂ්ට මෘදුකාංග තිබේ.

ඔබට MD5 හෝ SHA256 ක්‍රිප්ටෝග්‍රැෆික් හැෂ් වල අගයද පරීක්ෂා කළ හැක, එය කලින් අනාවරණය කරගත් අනිෂ්ට මෘදුකාංග වලට අනුරූප විය හැක. වැඩසටහනේ අත්සන් බැලීමෙන් ඔබට ස්ථිතික විශ්ලේෂණය සිදු කළ හැකිය (යාරා නීති හෝ ප්‍රති-වයිරස නිෂ්පාදන භාවිතා කිරීම). ගතික විශ්ලේෂණය (යම් ආරක්ෂිත පරිසරයක වැඩසටහනක් ක්රියාත්මක කිරීම සහ එහි ක්රියාවන් නිරීක්ෂණය කිරීම) සහ ප්රතිලෝම ඉංජිනේරු විද්යාව ද ඇත.

ද්වේෂසහගත ක්රියාවලියක බොහෝ සංඥා තිබිය හැක. මෙම ලිපියෙන් අපි වින්ඩෝස් හි අදාළ සිදුවීම් විගණනය සක්‍රීය කරන්නේ කෙසේදැයි ඔබට කියමු, අපි ගොඩනඟන රීතිය රඳා පවතින ලකුණු විශ්ලේෂණය කරන්නෙමු. භාරය සැක කටයුතු ක්රියාවලියක් හඳුනා ගැනීමට. භාරය යනු CLM වේදිකාව විවිධ ආකාරයේ ප්‍රහාර සඳහා දැනටමත් සිය ගණනක් පූර්ව නිශ්චිත ප්‍රතික්‍රියා ඇති, ව්‍යුහගත නොකළ දත්ත රැස් කිරීම, විශ්ලේෂණය කිරීම සහ ගබඩා කිරීම සඳහා.

වැඩසටහන දියත් කරන විට, එය පරිගණකයේ මතකයට පටවනු ලැබේ. ක්‍රියාත්මක කළ හැකි ගොනුවේ පරිගණක උපදෙස් සහ ආධාරක පුස්තකාල අඩංගු වේ (උදාහරණයක් ලෙස, *.dll). ක්රියාවලියක් දැනටමත් ක්රියාත්මක වන විට, එය අතිරේක නූල් සෑදිය හැක. නූල් මඟින් ක්‍රියාවලියකට විවිධ උපදෙස් මාලාවන් එකවර ක්‍රියාත්මක කිරීමට ඉඩ සලසයි. අනිෂ්ට කේතයන් මතකය විනිවිද යාමට සහ ධාවනය කිරීමට බොහෝ ක්‍රම තිබේ, ඒවායින් කිහිපයක් අපි බලමු.

අනිෂ්ට ක්‍රියාවලියක් දියත් කිරීමට ඇති පහසුම ක්‍රමය නම් එය සෘජුවම දියත් කිරීමට පරිශීලකයාට බල කිරීමයි (උදාහරණයක් ලෙස, විද්‍යුත් තැපැල් ඇමුණුමකින්), ඉන්පසු පරිගණකය සක්‍රිය කරන සෑම අවස්ථාවකම එය දියත් කිරීමට RunOnce යතුර භාවිතා කරන්න. ප්‍රේරකයක් මත පදනම්ව ක්‍රියාත්මක වන රෙජිස්ට්‍රි යතුරුවල PowerShell ස්ක්‍රිප්ට් ගබඩා කරන “ගොනු රහිත” අනිෂ්ට මෘදුකාංග ද මෙයට ඇතුළත් වේ. මෙම අවස්ථාවේදී, PowerShell ස්ක්‍රිප්ට් යනු අනිෂ්ට කේතයකි.

අනිෂ්ට මෘදුකාංග පැහැදිලිව ක්‍රියාත්මක වීමේ ගැටලුව නම් එය පහසුවෙන් හඳුනාගත හැකි දන්නා ප්‍රවේශයකි. සමහර අනිෂ්ට මෘදුකාංග මතකයේ ක්‍රියාත්මක කිරීම ආරම්භ කිරීමට වෙනත් ක්‍රියාවලියක් භාවිතා කිරීම වැනි වඩාත් දක්ෂ දේවල් කරයි. එබැවින්, ක්‍රියාවලියකට නිශ්චිත පරිගණක උපදෙස් ක්‍රියාත්මක කිරීමෙන් සහ ක්‍රියාත්මක කිරීමට ක්‍රියාත්මක කළ හැකි ගොනුවක් (.exe) නියම කිරීමෙන් තවත් ක්‍රියාවලියක් නිර්මාණය කළ හැකිය.

ගොනුව සම්පූර්ණ මාර්ගයක් (උදාහරණයක් ලෙස, C:Windowssystem32cmd.exe) හෝ අර්ධ මාර්ගයක් (උදාහරණයක් ලෙස, cmd.exe) භාවිතයෙන් නියම කළ හැක. මුල් ක්රියාවලිය අනාරක්ෂිත නම්, එය නීති විරෝධී වැඩසටහන් ක්රියාත්මක කිරීමට ඉඩ සලසයි. ප්‍රහාරයක් මෙවැන්නක් විය හැකිය: ක්‍රියාවලියක් සම්පූර්ණ මාර්ගය සඳහන් නොකර cmd.exe දියත් කරයි, ප්‍රහාරකයා ඔහුගේ cmd.exe ස්ථානයක තබයි, එවිට ක්‍රියාවලිය නීත්‍යානුකූල එකට පෙර එය දියත් කරයි. අනිෂ්ට මෘදුකාංගය ක්‍රියාත්මක වූ පසු, එයට නීත්‍යානුකූල වැඩසටහනක් දියත් කළ හැකිය (C:Windowssystem32cmd.exe වැනි) එවිට මුල් වැඩසටහන නිසි ලෙස ක්‍රියා කරයි.

පෙර ප්‍රහාරයේ ප්‍රභේදයක් වන්නේ නීත්‍යානුකූල ක්‍රියාවලියකට DLL එන්නත් කිරීමයි. ක්‍රියාවලියක් ආරම්භ වූ විට, එය එහි ක්‍රියාකාරීත්වය පුළුල් කරන පුස්තකාල සොයාගෙන පූරණය කරයි. DLL එන්නත් භාවිතා කරමින්, ප්‍රහාරකයෙකු නීත්‍යානුකූල එකක් ලෙස එකම නම සහ API සහිත අනිෂ්ට පුස්තකාලයක් නිර්මාණය කරයි. වැඩසටහන අනිෂ්ට පුස්තකාලයක් පටවන අතර, එය නීත්‍යානුකූල එකක් පටවන අතර, අවශ්‍ය පරිදි, මෙහෙයුම් සිදු කිරීමට එය අමතන්න. අනිෂ්ට පුස්තකාලය හොඳ පුස්තකාලය සඳහා ප්‍රොක්සියක් ලෙස ක්‍රියා කිරීමට පටන් ගනී.

අනිෂ්ට කේතය මතකයට දැමීමට තවත් ක්රමයක් නම් එය දැනටමත් ක්රියාත්මක වන අනාරක්ෂිත ක්රියාවලියකට ඇතුල් කිරීමයි. ක්‍රියාවලි වලට විවිධ මූලාශ්‍ර වලින් ආදානය ලැබේ - ජාලයෙන් හෝ ගොනු වලින් කියවීම. ඔවුන් සාමාන්‍යයෙන් ආදානය නීත්‍යානුකූල බව සහතික කිරීම සඳහා චෙක්පතක් සිදු කරයි. නමුත් සමහර ක්‍රියාවලි වලට උපදෙස් ක්‍රියාත්මක කිරීමේදී නිසි ආරක්ෂාවක් නොමැත. මෙම ප්‍රහාරයේදී, තැටියේ පුස්තකාලයක් හෝ අනිෂ්ට කේත අඩංගු ක්‍රියාත්මක කළ හැකි ගොනුවක් නොමැත. සෑම දෙයක්ම සූරාකෑමේ ක්රියාවලිය සමඟ මතකයේ ගබඩා කර ඇත.

දැන් අපි වින්ඩෝස් හි එවැනි සිදුවීම් එකතු කිරීම සක්‍රීය කිරීමේ ක්‍රමවේදය සහ එවැනි තර්ජනවලට එරෙහිව ආරක්ෂාව ක්‍රියාත්මක කරන InTrust හි රීතිය දෙස බලමු. පළමුව, InTrust කළමනාකරණ කොන්සෝලය හරහා එය සක්‍රිය කරමු.

රීතිය Windows OS හි ක්‍රියාවලි ලුහුබැඳීමේ හැකියාවන් භාවිතා කරයි. අවාසනාවකට, එවැනි සිදුවීම් එකතු කිරීම සක්‍රීය කිරීම පැහැදිලි නැත. ඔබට වෙනස් කිරීමට අවශ්‍ය විවිධ කණ්ඩායම් ප්‍රතිපත්ති සැකසීම් 3ක් ඇත:

පරිගණක වින්‍යාසය > ප්‍රතිපත්ති > වින්ඩෝස් සිටුවම් > ආරක්ෂක සැකසුම් > ප්‍රාදේශීය ප්‍රතිපත්ති > විගණන ප්‍රතිපත්තිය > විගණන ක්‍රියාවලි ලුහුබැඳීම

පරිගණක වින්‍යාසය > ප්‍රතිපත්ති > වින්ඩෝස් සිටුවම් > ආරක්ෂක සැකසුම් > උසස් විගණන ප්‍රතිපත්ති වින්‍යාසය > විගණන ප්‍රතිපත්ති > සවිස්තරාත්මක ලුහුබැඳීම > විගණන ක්‍රියාවලි නිර්මාණය

පරිගණක වින්‍යාසය> ප්‍රතිපත්ති> පරිපාලන සැකිලි> පද්ධතිය> විගණන ක්‍රියාවලි නිර්මාණය> ක්‍රියාවලි නිර්මාණය කිරීමේ සිදුවීම් තුළ විධාන රේඛාව ඇතුළත් කරන්න

සක්‍රීය කළ පසු, InTrust නීති මඟින් සැක සහිත හැසිරීම් ප්‍රදර්ශනය කරන කලින් නොදන්නා තර්ජන හඳුනා ගැනීමට ඔබට ඉඩ සලසයි. උදාහරණයක් ලෙස, ඔබට හඳුනාගත හැකිය මෙහි විස්තර කර ඇත Dridex අනිෂ්ට මෘදුකාංග. HP Bromium ව්‍යාපෘතියට ස්තූතියි, මෙම තර්ජනය ක්‍රියාත්මක වන ආකාරය අපි දනිමු.

එහි ක්‍රියා දාමය තුළ, Dridex විසින් කාලසටහන්ගත කාර්යයක් නිර්මාණය කිරීමට schtasks.exe භාවිතා කරයි. විධාන රේඛාවෙන් මෙම විශේෂිත උපයෝගීතාව භාවිතා කිරීම ඉතා සැක සහිත හැසිරීමක් ලෙස සැලකේ; පරිශීලක ෆෝල්ඩර වෙත යොමු කරන පරාමිති හෝ "net view" හෝ "whoami" විධාන වලට සමාන පරාමිති සමඟ svchost.exe දියත් කිරීම සමාන වේ. මෙන්න ඊට අනුරූප කොටසකි SIGMA නීති:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust හි, සියලුම සැක කටයුතු හැසිරීම් එක් රීතියකට ඇතුළත් කර ඇත, මන්ද මෙම ක්‍රියා බොහොමයක් විශේෂිත තර්ජනයකට විශේෂිත නොවේ, නමුත් සංකීර්ණයක් තුළ සැක සහිත වන අතර 99% ක්ම සම්පූර්ණයෙන්ම උතුම් අරමුණු සඳහා භාවිතා නොවේ. මෙම ක්‍රියා ලැයිස්තුවට ඇතුළත් වන නමුත් ඒවාට සීමා නොවේ:

• පරිශීලක තාවකාලික ෆෝල්ඩර වැනි අසාමාන්‍ය ස්ථාන වලින් ධාවනය වන ක්‍රියාවලි.
• සැක සහිත උරුමයක් සහිත සුප්‍රසිද්ධ පද්ධති ක්‍රියාවලිය - සමහර තර්ජන හඳුනා නොගැනීම සඳහා පද්ධති ක්‍රියාවලීන්ගේ නම භාවිතා කිරීමට උත්සාහ කළ හැකිය.
• දේශීය පද්ධති අක්තපත්‍ර හෝ සැක සහිත උරුමය භාවිතා කරන විට cmd හෝ PsExec වැනි පරිපාලන මෙවලම් සැක සහිත ක්‍රියාත්මක කිරීම්.
• සැක සහිත සෙවන පිටපත් මෙහෙයුම් පද්ධතියක් සංකේතනය කිරීමට පෙර ransomware වෛරස් වල සාමාන්‍ය හැසිරීමකි; ඒවා උපස්ථ විනාශ කරයි:

  - vssadmin.exe හරහා;
  - WMI හරහා.

• මුළු රෙජිස්ට්රි වද වල ඩම්ප් ලියාපදිංචි කරන්න.
• at.exe වැනි විධාන භාවිතයෙන් ක්‍රියාවලියක් දුරස්ථව දියත් කරන විට අනිෂ්ට කේතයේ තිරස් චලනය.
• net.exe භාවිතයෙන් සැක සහිත දේශීය කණ්ඩායම් මෙහෙයුම් සහ වසම් මෙහෙයුම්.
• netsh.exe භාවිතයෙන් සැක සහිත ෆයර්වෝල් ක්‍රියාකාරකම්.
• ACL හි සැක කටයුතු හැසිරවීම.
• දත්ත පෙරලීම සඳහා BITS භාවිතා කිරීම.
• WMI සමඟ සැක සහිත උපාමාරු.
• සැක සහිත ස්ක්‍රිප්ට් විධාන.
• ආරක්ෂිත පද්ධති ගොනු ඩම්ප් කිරීමට උත්සාහ කිරීම.

RUYK, LockerGoga සහ අනෙකුත් ransomware, malware සහ cybercrime මෙවලම් කට්ටල වැනි තර්ජන හඳුනා ගැනීමට ඒකාබද්ධ රීතිය ඉතා හොඳින් ක්‍රියා කරයි. ව්‍යාජ ධනාත්මක දේ අවම කිරීම සඳහා නිෂ්පාදන පරිසරයන්හි වෙළෙන්දා විසින් රීතිය පරීක්ෂා කර ඇත. තවද SIGMA ව්‍යාපෘතියට ස්තුති වන්නට, මෙම දර්ශක බොහොමයක් අවම ශබ්ද සිදුවීම් සංඛ්‍යාවක් නිපදවයි.

නිසා InTrust හි මෙය අධීක්ෂණ රීතියකි, ඔබට තර්ජනයකට ප්‍රතිචාරයක් ලෙස ප්‍රතිචාර පිටපතක් ක්‍රියාත්මක කළ හැක. ඔබට ගොඩනඟන ලද ස්ක්‍රිප්ට් එකක් භාවිත කිරීමට හෝ ඔබේම ඒවා නිර්මාණය කිරීමට හැකි අතර InTrust විසින් එය ස්වයංක්‍රීයව බෙදා හරිනු ඇත.

මීට අමතරව, ඔබට සියලු සිදුවීම් සම්බන්ධ ටෙලිමෙට්‍රි පරීක්ෂා කළ හැක: PowerShell ස්ක්‍රිප්ට්, ක්‍රියාවලි ක්‍රියාත්මක කිරීම, නියමිත කාර්ය උපාමාරු, WMI පරිපාලන ක්‍රියාකාරකම්, සහ ආරක්ෂක සිදුවීම් වලදී පශ්චාත් මරණ පරීක්ෂණ සඳහා ඒවා භාවිතා කරන්න.

InTrust හි තවත් නීති සිය ගණනක් ඇත, ඒවායින් සමහරක්:

• PowerShell පහත හෙලීමේ ප්‍රහාරයක් හඳුනා ගැනීම යනු යමෙකු හිතාමතාම PowerShell හි පැරණි අනුවාදයක් භාවිතා කරන විටය... පැරණි අනුවාදයේ සිදුවන්නේ කුමක්ද යන්න විගණනය කිරීමට ක්‍රමයක් නොතිබුණි.
• ඉහළ වරප්‍රසාද ලත් ලොග් අනාවරනය යනු යම් වරප්‍රසාද ලත් කණ්ඩායමක (වසම් පරිපාලකයින් වැනි) සාමාජිකයින් වන ගිණුම් අහම්බෙන් හෝ ආරක්ෂක සිදුවීම් හේතුවෙන් සේවා ස්ථාන වෙත ලොග් වන විටය.

InTrust මඟින් ඔබට පූර්ව නිශ්චිත හඳුනාගැනීම් සහ ප්‍රතික්‍රියා රීති ආකාරයෙන් හොඳම ආරක්ෂක භාවිතයන් භාවිතා කිරීමට ඉඩ සලසයි. යමක් වෙනස් ආකාරයකින් ක්‍රියා කළ යුතු යැයි ඔබ සිතන්නේ නම්, ඔබට රීතියේ ඔබේම පිටපතක් සාදා අවශ්‍ය පරිදි එය වින්‍යාසගත කළ හැකිය. ගුවන් නියමුවෙකු පැවැත්වීම සඳහා හෝ තාවකාලික බලපත්‍ර සහිත බෙදාහැරීමේ කට්ටල ලබා ගැනීම සඳහා ඔබට අයදුම්පතක් ඉදිරිපත් කළ හැකිය ප්‍රතිපෝෂණ පෝරමය අපගේ වෙබ් අඩවියේ.

අපගේ Subscribe කරන්න ෆේස්බුක් පිටුව, අපි එහි කෙටි සටහන් සහ රසවත් සබැඳි පළ කරන්නෙමු.

තොරතුරු ආරක්ෂාව පිළිබඳ අපගේ අනෙකුත් ලිපි කියවන්න:

RDP හරහා අසාර්ථක අවසර ලබා ගැනීමේ උත්සාහයන් අනුපාතය අඩු කිරීමට InTrust උදව් කරන්නේ කෙසේද?

අපි ransomware ප්‍රහාරයක් හඳුනාගෙන, වසම් පාලකයට ප්‍රවේශය ලබාගෙන මෙම ප්‍රහාරවලට එරෙහි වීමට උත්සාහ කරමු

වින්ඩෝස් පාදක වර්ක් ස්ටේෂන් එකක ලොග් වලින් ලබාගත හැකි ප්‍රයෝජනවත් දේවල් මොනවාද? (ජනප්රිය ලිපිය)

ප්ලයර්ස් හෝ ඩක් ටේප් නොමැතිව භාවිතා කරන්නන්ගේ ජීවන චක්‍රය නිරීක්ෂණය කිරීම

එය කළේ කවුද? අපි තොරතුරු ආරක්ෂණ විගණන ස්වයංක්‍රීය කරන්නෙමු

SIEM පද්ධතියක හිමිකාරිත්වයේ පිරිවැය අඩු කරන්නේ කෙසේද සහ ඔබට මධ්‍යම ලොග් කළමනාකරණය (CLM) අවශ්‍ය වන්නේ ඇයි?

මූලාශ්රය: www.habr.com