Goobta shaqada adeegsaduhu waa meesha ugu nugul kaabayaasha marka loo eego amniga macluumaadka. Isticmaalayaasha waxaa laga yaabaa inay helaan warqad iimaylka shaqadooda u muuqata inay ka timid meel nabdoon, laakiin leh xiriirinta goobta cudurka. Waxaa laga yaabaa in qof uu soo dejiyo utility waxtar u leh shaqada meel aan la garanayn. Haa, waxaad la imaan kartaa daraasiin xaaladood oo ku saabsan sida malware-ku uu u dhexgelin karo ilaha shirkadaha gudaha ee isticmaala isticmaalayaasha. Sidaa darteed, goobaha shaqadu waxay u baahan yihiin feejignaan dheeraad ah, iyo maqaalkan waxaan kuu sheegi doonaa meesha iyo dhacdooyinka la qaado si loola socdo weerarada.
Si loo ogaado weerarka marxaladda ugu horraysa ee suurtogalka ah, WIndows waxay leedahay saddex ilo dhacdo oo faa'iido leh: Diiwaanka Dhacdada Amniga, Diiwaanka Dabagalka Nidaamka, iyo Logs Power Shell.
Log Dhacdada Amniga
Tani waa meesha ugu weyn ee lagu kaydiyo diiwaannada amniga nidaamka. Tan waxaa ku jira dhacdooyinka galitaanka/ka bixida isticmaalaha, gelitaanka walxaha, isbeddelada siyaasadda, iyo hawlaha kale ee amniga la xiriira. Dabcan, haddii siyaasadda ku habboon la habeeyey.
Tirinta isticmaaleyaasha iyo kooxaha (dhacdooyinka 4798 iyo 4799). Bilawga weerarka, malware-ku waxa uu inta badan ka dhex baaraa xisaabaadka isticmaalaha maxaliga ah iyo kooxaha maxaliga ah ee goobta shaqada si uu u helo aqoonsiyo la macaamilkiisa hadhsan. Dhacdooyinkani waxay gacan ka geysan doonaan in la ogaado koodka xaasidnimada ah ka hor inta aanuu dhaqaaqin iyo, isticmaalka xogta la ururiyey, waxay ku faaftaa nidaamyada kale.
Abuuritaanka akoon maxalli ah iyo isbeddelada kooxaha maxalliga ah (dhacdooyinka 4720, 4722-4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 iyo 5377). Weerarku waxa kale oo uu bilaaban karaa, tusaale ahaan, in lagu daro isticmaale cusub kooxda maamulayaasha deegaanka.
Isku day inaad ku gasho akoon maxalli ah (dhacdo 4624). Isticmaalayaasha la ixtiraamo waxay ku soo galaan akoon domain ah, iyo aqoonsiga galitaanka koontada maxaliga ah waxay la macno tahay bilawga weerarka. Dhacdada 4624 waxa kale oo ka mid ah galitaanka akoontada domain, markaa marka aad qabanayso dhacdooyinka, waxaad u baahan tahay inaad kala shaandhayso dhacdooyinka uu domainku ka duwan yahay magaca goobta shaqada.
Isku day lagu galo akoonka la cayimay (dhacdada 4648). Tani waxay dhacdaa marka hawshu ku socoto habka "run as". Tani waa inaysan dhicin inta lagu jiro hawlgalka caadiga ah ee nidaamyada, markaa dhacdooyinkan oo kale waa in la xakameeyo.
Qufulka/furida goobta shaqada (dhacdooyinka 4800-4803). Qaybta dhacdooyinka shakiga leh waxaa ku jira fal kasta oo ka dhacay goob shaqo oo qufulan.
Habaynta Firewall waa isbedeshaa (dhacdooyinka 4944-4958). Sida iska cad, marka la rakibayo software cusub, dejinta qaabeynta dab-damiska ayaa laga yaabaa inay isbedelaan, taas oo keeni doonta natiijooyin been ah. Xaaladaha intooda badan, looma baahna in la xakameeyo isbeddellada noocaas ah, laakiin hubaal ma dhaawacayso in la ogaado iyaga.
Ku xidhida aaladaha Plug'n'play (dhacdada 6416 iyo kaliya ee WIndows 10). Waa muhiim inaad isha ku hayso tan haddii isticmaalayaashu badanaa aysan ku xirin qalab cusub goobta shaqada, laakiin ka dibna si lama filaan ah ayey u sameeyaan.
Daaqadaha waxaa ku jira 9 qaybood oo xisaab hubin iyo 50 qaybood oo si fiican loo habeeyey. Qaybta ugu yar ee qaybaha hoose ee ay tahay in laga furo goobaha:
Logon / Logoff
- Galid;
- Ka bax;
- Qufulka Akoonka;
- Dhacdooyinka Logon/Logoff Kale
Maareynta Xisaabaadka
- Maamulka Xisaabaadka Isticmaalaha;
- Maamulka Kooxda Ammaanka.
Beddelka Siyaasadda
- Isbedelka Siyaasadda Hanti-dhawrka;
- Isbedelka Siyaasadda Xaqiijinta;
- Beddelka Siyaasadda Oggolaanshaha.
Kormeerka Nidaamka (Sysmon)
Sysmon waa utility lagu dhex dhisay Windows kaas oo duubi kara dhacdooyinka gudaha nidaamka log. Caadi ahaan waxaad u baahan tahay inaad si gooni ah u rakibto.
Dhacdooyinkan la midka ah ayaa, mabda' ahaan, laga heli karaa diiwaanka amniga (iyado awood u siinaya siyaasadda hanti-dhawrka ee la doonayo), laakiin Sysmon wuxuu bixiyaa faahfaahin dheeraad ah. Dhacdooyin noocee ah ayaa laga soo qaadan karaa Sysmon?
Habka abuurista (aqoonsiga dhacdada 1). Diiwaanka dhacdada amniga nidaamka ayaa sidoo kale kuu sheegi kara marka * .exe uu bilaabmay oo xitaa muujin karo magaciisa iyo dariiqa furitaanka. Laakin si ka duwan Sysmon, ma awoodi doonto inay muujiso xashiishka codsiga. Software-ka xaasidnimada leh xitaa waxaa loogu yeeraa notepad.exe aan dhib lahayn, laakiin waa xashiish kan soo saari doona iftiinka.
Xiriirinta Shabakadda (Aqoonsiga Dhacdada 3). Sida iska cad, waxaa jira xiriiro badan oo shabakadeed, mana dhici karto in dhammaantood lala socdo. Laakiin waxaa muhiim ah in la tixgeliyo in Sysmon, oo ka duwan Log Security, uu ku xidhi karo isku xirka goobta ProcessID iyo ProcessGUID, oo uu tuso dekeda iyo cinwaanada IP-ga isha iyo meesha loo socdo.
Isbeddellada ku yimaadda nidaamka diiwaanka (aqoonsiga dhacdada 12-14). Habka ugu fudud ee aad naftaada ugu dari karto autorun waa inaad iska diiwaan geliso diiwaanka. Log ammaanku wuu samayn karaa tan, laakiin Sysmon wuxuu muujinayaa cidda isbeddellada samaysay, goorma, halkee, ka timid, aqoonsiga habka iyo qiimihii hore ee furaha.
Abuuritaanka faylka (aqoonsiga dhacdada 11). Sysmon, oo ka duwan Log Security, ma muujin doono oo keliya meesha faylka, laakiin sidoo kale magaciisa. Way caddahay in aadan wax walba la socon karin, laakiin waxaad xisaabin kartaa hagayaasha qaarkood.
Oo hadda waxa aan ku jirin siyaasadaha Log Security, laakiin waxay ku jiraan Sysmon:
Bedelka wakhtiga abuurista faylka (aqoonsiga dhacdada 2). Qaar ka mid ah malware-ku waxa ay xambaari karaan taariikhda abuuritaanka faylka si ay uga qariyaan warbixinnada faylalka dhawaan la sameeyay.
Soodejinaya darawalada iyo maktabadaha firfircoon (aqoonsiga dhacdada 6-7). La socodka rarka DLL-yada iyo wadayaasha aaladaha ee xusuusta, hubinta saxeexa dhijitaalka ah iyo ansaxnimadiisa.
Samee dunta geedi socodka orodka (aqoonsiga dhacdada 8). Hal nooc oo weerar ah oo sidoo kale u baahan in lala socdo.
Dhacdooyinka Akhriska RawAccess (Aqoonsiga Dhacdada 9). Hawlaha akhrinta diskka iyadoo la isticmaalayo "." Inta badan kiisaska, hawshan waa in loo tixgeliyaa mid aan caadi ahayn.
Samee qulqulka faylka magacaaban (aqoonsiga dhacdada 15). Dhacdada waxa la soo galiyaa marka la abuuro qulqulka fayl la magacaabay kaas oo sii daaya dhacdooyinka xadhkaha ku jira waxa ku jira faylka.
Abuuritaanka tuubo magac leh iyo isku xirka (aqoonsiga dhacdada 17-18). Dabagalka koodka xaasidnimada leh ee kula xidhiidha qaybaha kale iyada oo loo marayo tuubada la magacaabay.
Hawlaha WMI (aqoonsiga dhacdada 19). Diiwaangelinta dhacdooyinka la soo saaro marka la gelayo nidaamka iyada oo loo marayo borotokoolka WMI.
Si loo ilaaliyo Sysmon lafteeda, waxaad u baahan tahay inaad la socoto dhacdooyinka aqoonsiga 4 (Sysmon joojinta iyo bilaabista) iyo aqoonsiga 16 (isbedelka qaabeynta Sysmon).
Logs Power Shell
Awoodda Shell waa aalad awood badan oo lagu maareeyo kaabayaasha Windows, sidaa darteed fursadaha aad ayey u badan yihiin in weeraryahanku doorto. Waxaa jira laba ilo oo aad u isticmaali karto si aad u hesho xogta dhacdada Shell Power: Windows PowerShell log iyo Microsoft-WindowsPowerShell/Log hawleedka.
Windows PowerShell log
Bixiyaha xogta ayaa raran (aqoonsiga dhacdada 600). Bixiyeyaasha PowerShell waa barnaamijyo siiya isha xogta PowerShell si loo eego loona maamulo. Tusaale ahaan, bixiyeyaasha gudaha ku dhex jira waxay noqon karaan doorsoomayaasha deegaanka ee Windows ama nidaamka diiwaanka. Soo bixitaanka alaab-qeybiyeyaal cusub waa in lala socdo si loo ogaado dhaq-dhaqaaqyada xaasidnimada leh waqtiga. Tusaale ahaan, haddii aad aragto WSman oo ka dhex muuqda bixiyeyaasha, markaas kalfadhi PowerShell fog ayaa la bilaabay.
Microsoft-WindowsPowerShell / Log hawleedka (ama MicrosoftWindows-PowerShellCore / Operational in PowerShell 6)
Module-gaynta (aqoonsiga dhacdada 4103). Dhacdooyinku waxay kaydiyaan macluumaadka ku saabsan amar kasta oo la fuliyay iyo cabbirrada loogu yeedhay.
Script xannibista gaynta (aqoonsiga dhacdada 4104). Xiritaanka qoraalka ayaa muujinaya qayb kasta oo koodka PowerShell ah oo la fuliyay. Xitaa haddii uu weerarku isku dayo inuu qariyo amarka, nooca dhacdadani waxay tusi doontaa amarka PowerShell ee dhab ahaan la fuliyay. Nooca dhacdadani waxa kale oo uu gali karaa qaar ka mid ah wicitaanada API-ga hooseeya ee la samaynayo, dhacdooyinkan waxaa badanaa loo duubaa sidii Verbose, laakiin haddii amar ama qoraal laga shakiyo loo isticmaalo baloog kood ah, waxa loo geli doonaa sida darnaanta Digniineed.
Fadlan la soco in marka qalabka loo habeeyo si uu u ururiyo oo u falanqeeyo dhacdooyinkan, wakhti dheeraad ah oo qalad ah ayaa loo baahan doonaa si loo yareeyo tirada been-abuurka.
Noogu sheeg faallooyinka diiwaannada aad u ururiso hubinta amniga macluumaadka iyo agabka aad u isticmaalayso tan. Mid ka mid ah meelaha aan diiradda saarayno waa xalalka xisaabinta dhacdooyinka amniga macluumaadka. Si loo xalliyo dhibaatada ururinta iyo falanqaynta qoraallada, waxaan soo jeedin karnaa in si dhow loo eego , kaas oo ku cadaadi kara xogta la kaydiyay iyadoo la eegayo saamiga 20:1, iyo hal tusaale oo la rakibay ayaa awood u leh in uu socodsiiyo ilaa 60000 dhacdo ilbiriqsi kasta laga soo bilaabo 10000 ilo.
Source: www.habr.com