O se tasi o ituaiga masani o osofaʻiga o le faʻatupuina lea o se faiga leaga i totonu o se laʻau i lalo o faiga faʻaaloalogia atoatoa. O le ala i le faila faila e ono masalomia: e masani ona faʻaaogaina e le malware le AppData poʻo le Temp folders, ma e le o se mea masani lea mo polokalame faʻatulafonoina. Ina ia saʻo, e taua le fai atu o nisi o mea faʻafouina faʻafouina o loʻo faʻatinoina i AppData, o lea naʻo le siakiina o le nofoaga faʻalauiloa e le lava e faʻamaonia ai o le polokalama e leaga.
O se fa'aopoopoga fa'aopoopo o le fa'atulafonoina o se saini fa'ailoga: tele polokalame muamua e sainia e le fa'atau. E mafai ona e faʻaogaina le mea moni e leai se saini e fai ma metotia mo le faʻailoaina o mea masalomia amata. Ae o loʻo i ai foʻi le malware e faʻaaogaina se tusi faamaonia gaoi e saini ai.
E mafai foi ona e siaki le tau o MD5 poʻo SHA256 cryptographic hashes, atonu e fetaui ma nisi o mea leaga na iloa muamua. E mafai ona e faia suʻesuʻega faʻapitoa e ala i le vaʻai i saini i totonu o le polokalame (faʻaaogaina tulafono a Yara poʻo oloa antivirus). O loʻo iai foʻi suʻesuʻega faʻamalosi (faʻatautaia se polokalame i se siosiomaga saogalemu ma mataʻituina ana gaioiga) ma le faʻaaogaina o le inisinia.
E mafai ona tele fa'ailoga o se faiga leaga. I lenei tusiga o le a matou taʻuina atu ia te oe pe faʻafefea ona faʻatagaina le suʻeina o mea talafeagai i Windows, matou te suʻeina faʻailoga e faʻalagolago i ai le tulafono faʻavae.
A fa'alauiloa le polokalame, e utaina i le mafaufau o le komepiuta. O le faila fa'atinoina o lo'o iai fa'atonuga fa'akomepiuta ma faletusi lagolago (mo se fa'ata'ita'iga, *.dll). A uma ona fa'agasolo se fa'agasologa, e mafai ona fa'aopoopoina filo fa'aopoopo. O filo e fa'atagaina ai se fa'agasologa e fa'atino seti eseese o fa'atonuga i le taimi e tasi. E tele auala mo tulafono leaga e ulu atu i le mafaufau ma tamoʻe, seʻi o tatou tilotilo i nisi o latou.
O le auala pito sili ona faigofie e faʻalauiloa ai se faiga leaga o le faʻamalosi lea o le tagata faʻaoga e faʻalauiloa saʻo (mo se faʻataʻitaʻiga, mai se faʻapipiʻi imeli), ona faʻaaoga lea o le RunOnce ki e faʻalauiloa ai i taimi uma e ki ai le komepiuta. E aofia ai fo'i ma mea leaga "leai se faila" o lo'o teuina fa'amaumauga a le PowerShell i ki fa'amaumauga e fa'atino e fa'atatau i se fa'aoso. I lenei tulaga, o le PowerShell script o se tulafono leaga.
O le fa'afitauli i le fa'aogaina manino o malware o se auala lauiloa e faigofie ona iloa. O nisi malware e sili atu le poto, e pei o le faʻaaogaina o se isi faiga e amata ai ona faʻatino i le mafaufau. O le mea lea, e mafai e se fa'agasologa ona faia se isi fa'agasologa e ala i le fa'atinoina o se fa'atonuga fa'akomepiuta fa'apitoa ma fa'amaoti se faila fa'atino (.exe) e fa'atino.
E mafai ona faʻamaonia le faila e faʻaaoga ai se ala atoa (mo se faʻataʻitaʻiga, C:Windowssystem32cmd.exe) poʻo se vaega ala (mo se faʻataʻitaʻiga, cmd.exe). Afai o le uluai faagasologa e le saogalemu, o le a mafai ai ona faʻagasolo polokalame faʻaletulafono. O se osofaʻiga e mafai ona foliga faʻapea: o se faʻagasologa e faʻalauiloa le cmd.exe e aunoa ma le faʻamalamalamaina o le ala atoa, e tuʻu e le tagata osofaʻi lana cmd.exe i se nofoaga ina ia faʻalauiloa e le faagasologa i luma o le mea saʻo. O le taimi lava e alu ai le malware, e mafai ona fa'agasolo ai se polokalame fa'atulafonoina (e pei o le C:Windowssystem32cmd.exe) ina ia fa'aauau pea ona galue lelei le uluai polokalame.
O se fesuiaiga o le osofaʻiga muamua o le tui DLL i se faiga faʻatulafonoina. A amata se fa'agasologa, e su'e ma utaina faletusi e fa'alautele ai ana galuega. I le faʻaaogaina o le tui DLL, e faia ai e le tagata osofaʻi se faletusi leaga ma le igoa tutusa ma le API o se mea faʻamaonia. O le polokalame e utaina se faletusi leaga, ma, i le isi itu, e utaina se mea tatau, ma, pe a manaʻomia, valaʻau e faʻatino gaioiga. O le faletusi leaga e amata ona fai ma sui mo le faletusi lelei.
O le isi auala e tu'u ai le fa'ailoga leaga i le mafaufau o le fa'aofiina lea i totonu o se faiga le saogalemu lea ua uma ona fa'agasolo. O fa'agaioiga e maua ai fa'amatalaga mai fa'apogai eseese - faitau mai le feso'otaiga po'o faila. E masani ona latou faia se siaki e fa'amautinoa ai e sa'o le fa'aoga. Ae o nisi faiga e leai se puipuiga talafeagai pe a faatino faatonuga. I lenei osofaʻiga, e leai se faletusi i luga o le disk poʻo le faila faila o loʻo i ai tulafono leaga. O mea uma e teuina i le mafaufau faatasi ai ma le faagasologa o loʻo faʻaaogaina.
Seʻi o tatou vaʻavaʻai i le auala e faʻatagaina ai le aoina o ia mea i totonu o Windows ma le tulafono ile InTrust e faʻaogaina ai le puipuiga mai ia faʻamataʻu. Muamua, tatou fa'agaoioia e ala ile InTrust management console.
O lo'o fa'aogaina e le tulafono le fa'agasologa o le su'eina o agava'a ole Windows OS. O le mea e leaga ai, o le faʻatagaina o le aoina o ia mea e fai e le o manino. E 3 tulaga ese'ese Faiga Fa'avae e te mana'omia e sui:
Faiga Fa'akomepiuta > Faiga Fa'avae > Fa'atonu Pupuni > Fa'atonuga Puipuiga > Faiga Fa'alotoifale > Faiga Fa'avae Su'etusi > Su'e Su'e Su'e
Faiga Fa'akomepiuta > Faiga Fa'avae > Fa'atonu Pupuni > Fa'atonuga Puipuiga > Fa'atonu Faiga Fa'avae Su'etusi Maualuga > Faiga Fa'avae Su'etusi > Su'esu'ega Au'ili'ili > Fa'asologa o Su'etusi
Faiga Fa'akomepiuta > Faiga Fa'avae > Fa'atonu Fa'atonu > Fa'atonu > Su'etusi Fa'asologa Fa'asologa > Fa'aaofia le laina fa'atonu i fa'asologa o mea na tutupu.
O le taimi lava e mafai ai, InTrust tulafono e faʻatagaina oe e iloa ai faʻamataʻu e leʻi iloa muamua e faʻaalia ai amioga masalosalo. Mo se faʻataʻitaʻiga, e mafai ona e iloa
I lana faasologa o gaioiga, Dridex faʻaaoga schtasks.exe e fatu ai se galuega faʻatulagaina. O le faʻaaogaina o lenei faʻaoga faʻapitoa mai le laina faʻatonu e manatu i amioga masalosalo tele; faʻalauiloaina svchost.exe faʻatasi ai ma faʻamaufaʻailoga e faʻasino i faila faʻaoga poʻo faʻamaufaʻailoga tutusa ma le "net view" poʻo le "whoami" poloaiga e foliga tutusa. O se vaega lenei o le mea e fetaui
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
I totonu o le InTrust, o amioga masalomia uma o loʻo aofia i totonu o le tulafono e tasi, aua o le tele o nei gaioiga e le faʻapitoa i se faʻamataʻu faʻapitoa, ae o loʻo masalomia i totonu o se faʻalavelave ma i le 99% o mataupu e faʻaaogaina e le o ni faʻamoemoega mamalu. O lenei lisi o gaioiga e aofia ai, ae le gata i:
- Fa'agasologa o lo'o fa'agasolo mai nofoaga e le masani ai, pei o faila le tumau a tagata fa'aoga.
- Ta'uta'ua faiga faiga fa'atasi ma masalosaloga tofi - o nisi fa'amata'u e ono taumafai e fa'aoga le igoa o faiga faiga e tumau ai le le iloa.
- Fa'atonuga masalomia o meafaigaluega fa'apulega e pei o le cmd po'o le PsExec pe a latou fa'aogaina fa'amaumauga fa'alotoifale po'o se tofi masalomia.
- O fa'agaioiga ata lafoia o se faiga masani a virus ransomware a'o le'i fa'ailogaina se faiga; latou te tapeina fa'amaumauga:
— Via vssadmin.exe;
- Via WMI. - Fa'atala lafoa'i o fa'afu atoa a le resitala.
- Fa'asagaga fa'asaga i le fa'ailoga leaga pe a fa'alauiloa mamao se fa'agasologa e fa'aaoga ai fa'atonuga pei ole at.exe.
- O fa'agaioiga fa'alenu'u fa'alenu'u masalomia ma fa'agaio'iga i le fa'aogaina o le net.exe.
- Gaioiga firewall masalomia e faaaoga ai le netsh.exe.
- Fa'atonuga masalomia o le ACL.
- Fa'aaogā le BITS mo fa'amatalaga fa'asili.
- Fa'atonuga masalosalo ma le WMI.
- Fa'atonuga tusitusiga masalomia.
- Taumafai e lafoa'i faila fa'aoga saogalemu.
Ole tulafono tu'ufa'atasi e aoga tele e iloa ai fa'amata'u pei ole RUYK, LockerGoga ma isi ransomware, malware ma cybercrime toolkits. O le tulafono na faʻataʻitaʻiina e le tagata faʻatau i siosiomaga gaosiga e faʻaitiitia ai mea sese. Ma faʻafetai i le SIGMA poloketi, o le tele o nei faʻailoga e maua ai se numera laʻititi o mea pisa.
Aua I totonu o le InTrust o se tulafono mataʻituina lea, e mafai ona e faʻatinoina se tali tali e fai ma tali i se faʻamataʻu. E mafai ona e faʻaogaina se tasi o tusitusiga faʻapipiʻi pe fatuina sau oe ma InTrust e otometi lava ona tufatufaina atu.
E le gata i lea, e mafai ona e asiasia mea uma e fesoʻotaʻi ma le telemetry: PowerShell scripts, faʻatinoga o faʻatinoga, faʻatonuga o galuega faʻatulagaina, WMI faʻatonuga, ma faʻaogaina mo faʻailoga maliu i taimi o faʻalavelave saogalemu.
InTrust e faitau selau isi tulafono, o nisi oi latou:
- O le su'esu'eina o se osofa'iga i lalo o le PowerShell o le fa'aaogaina lea ma le loto i ai e se tasi se lomiga tuai o le PowerShell ona... i le lomiga tuai e leai se auala e suʻe ai mea o loʻo tupu.
- O le su'esu'eina o le fa'ailoga maualuga pe a fa'afuase'i ona fa'afeso'ota'i tala o lo'o avea ma sui o se vaega fa'apitoa (pei o pulega fa'alenu'u) i fale faigaluega ona o fa'alavelave fa'afuase'i.
InTrust fa'atagaina oe e fa'aogaina faiga sili ona saogalemu ile tulaga o le fa'ata'ita'iina muamua ma tulafono tali. Ma afai e te manatu o se mea e tatau ona galue ese, e mafai ona e faia lau lava kopi o le tulafono ma faʻapipiʻi pe a manaʻomia. E mafai ona e tu'uina atu se talosaga mo le fa'afoeina o se pailate po'o le mauaina o pusa tufatufa fa'atasi ma laisene le tumau e ala i
Fa'asoa i la matou
Faitau a matou isi tala i le saogalemu o faʻamatalaga:
puna: www.habr.com