Siideynta nooca 12 ee Sysmon waxaa lagu dhawaaqay Sebtembar 17-keedii
Macluumaadka laga helayo dhacdadan noocan ahi waxay furaysaa fursado cusub oo lagula socdo dhaqdhaqaaqa laga shakiyo (iyo sidoo kale baylahda cusub). Markaa, waad fahmi kartaa cidda, meesha iyo waxa ay isku dayeen inay nuqul ka sameeyaan. Hoosta gooynta waxaa ku yaal sharraxaad qaybo ka mid ah dhacdooyinka cusub iyo dhowr kiis oo la isticmaalo.
Munaasabadda cusub waxay ka kooban tahay qaybaha soo socda:
Sawirka: habka xogta lagu qoray sanduuqa.
Kulanka: fadhigii looxa lagu qoray. Waxay noqon kartaa system (0)
markaad ka shaqaynayso online ama meel fog, iwm.
Macluumaadka Macmiilka: waxa ku jira magaca isticmaalaha fadhiga iyo, xaalada fadhi fog, magaca martida loo yahay ee asalka ah iyo ciwaanka IP, haddii la heli karo.
Xashiish: ayaa go'aamiya magaca faylka lagu kaydiyay qoraalka la koobiyay (oo la mid ah la shaqaynta dhacdooyinka nooca FileDelete).
kaydsan xaaladda, haddii qoraalka ka soo baxay sabuuradda lagu kaydiyey buugga kaydka Sysmon.
Labadii goobood ee ugu dambeeyay waa cabsi. Xaqiiqdu waxay tahay in tan iyo nooca 11 Sysmon (oo leh goobo ku habboon) uu keydin karo xog kala duwan hagaha kaydka. Tusaale ahaan, Aqoonsiga Dhacdada 23 wuxuu diiwaan geliyaa faylalka tirtirka dhacdooyinka wuxuuna ku kaydin karaa dhamaantood isla hagaha kaydka. Calaamadda CLIP waxaa lagu daraa magaca faylasha la abuuray iyadoo ay ugu wacan tahay la shaqaynta sabuuradda. Faylasha laftooda waxaa ku jira xogta saxda ah ee lagu koobiyeeyay sabuuradda.
Tani waa sida uu u eg yahay faylka la keydiyay
Ku kaydinta faylka waa la damiyay inta lagu jiro rakibidda. Waxaad dejin kartaa liisaska cad ee hababka kuwaas oo qoraalka aan loo kaydin doonin.
Tani waa sida rakibidda Sysmon u eg tahay oo leh habaynta hagaha kaydka ee habboon:
Halkan, waxaan u maleynayaa, inay mudan tahay in la xasuusto maamulayaasha sirta ah ee sidoo kale isticmaala boodhka. Haysashada Sysmon ee nidaamka leh maamulaha erayga sirta ah waxay kuu ogolaanaysaa (ama weeraryahan) inaad qabato furahaas. Adiga oo u maleynaya inaad ogtahay habka loo qoondeynayo qoraalka la koobiyay (oo tani had iyo jeer maaha habka maamulaha sirta ah, laakiin laga yaabee qaar ka mid ah svchost), ka reeban waxaa lagu dari karaa liiska cad oo aan la badbaadin.
Waxaa laga yaabaa inaadan ogeyn, laakiin qoraalka ka soo baxay sabuuradda waxaa qabta server-ka fog marka aad u beddesho qaabka fadhiga RDP. Haddii aad wax ku haysato sabuuraddaada oo aad u kala beddesho fadhiyada RDP, macluumaadkaas ayaa kula socon doona.
Aynu soo koobno ββawoodaha Sysmon ee la shaqaynta sabuuradda.
go'an:
- Nuqul qoraal ah oo qoraal ah oo la dhejiyay iyada oo loo sii marayo RDP iyo gudaha;
- Ka soo qaad xogta sabuuradda agabyo/habso kala duwan;
- Nuqul ka/ku dheji qoraalka ka/ku dheji mashiinka farsamada gacanta, xitaa haddii qoraalkan aan weli la dhejin.
Lama duubin:
- Koobiyaynta/ku dhejinta feylasha ka/ku dhejinta mishiinka farsamada ee maxaliga ah;
- Ku koobbi/ku dheji faylalka RDP
- Malware-ka afduuba sabuuraddaada ayaa kaliya wax u qorta sabuuradda lafteeda.
Inkasta oo ay madmadow ku jirto, dhacdadan noocan ahi waxay kuu ogolaaneysaa inaad soo celiso algorithm-ka weeraryahanka ee ficillada iyo caawinta aqoonsiga xogta hore ee aan la heli karin ee samaynta dhimashada ka dib weerarrada ka dib. Haddii wax ku qorista sabuuradda ay wali shaqaynayso, waxa muhiim ah in la diiwaan geliyo gelitaanka tusaha kaydka oo la garto kuwa khatarta ah (ma aha mid bilaabay sysmon.exe).
Si aad u duubto, u falanqayso ugana falceliso dhacdooyinka kor ku xusan, waxaad isticmaali kartaa qalabka
Si aad wax badan uga barato InTrust, akhri maqaaladeenii hore ama
Source: www.habr.com