Mid ka mid ah noocyada ugu caansan ee weerarrada ayaa ah dhalidda geeddi-socodka xaasidnimada leh ee geedka hoos yimaada hababka la ixtiraamo. Jidka loo maro faylka la fulin karo waxa laga yaabaa in laga shakiyo: malware inta badan waxa uu isticmaalaa faylalka AppData ama Temp, tanina maaha mid caadi u ah barnaamijyada sharciga ah. Si aad u noqoto mid cadaalad ah, waxaa haboon in la sheego in qaar ka mid ah utility updates automatic ah lagu fuliyay AppData, marka kaliya hubinta meesha laga bilaabay kuma filna si loo xaqiijiyo in barnaamijku yahay xaasidnimo.
Qodob dheeraad ah oo sharci ah ayaa ah saxeexa cryptographic: barnaamijyo badan oo asalka ah waxaa saxiixay iibiyuhu. Waxaad isticmaali kartaa xaqiiqda ah in aysan jirin wax saxiix ah hab lagu aqoonsado alaabta bilawga ah ee shakiga leh. Laakin mar kale waxa jira malware oo adeegsada shahaado la xaday si uu isu saxiixo.
Waxa kale oo aad hubin kartaa qiimaha MD5 ama SHA256 cryptographic hashes, kuwaas oo u dhigma qaar ka mid ah malware hore loo ogaaday. Waxaad samayn kartaa falanqaynta joogtada ah adoo eegaya saxeexyada barnaamijka (adoo isticmaalaya xeerarka Yara ama alaabada antivirus). Waxa kale oo jira falanqayn firfircoon (ku socodsiinta barnaamij jawi badbaado leh iyo la socoshada ficilladiisa) iyo injineernimada beddelka.
Waxaa jiri kara calaamado badan oo muujinaya habka xaasidnimada ah. Maqaalkani waxa aanu kuu sheegi doonaa sida loo suurtageliyo xisaabinta dhacdooyinka khuseeya Windows, waxaanu falanqeyn doonaa calaamadaha in qaanuunka la dhisay uu ku tiirsan yahay. si loo aqoonsado habka shakiga leh. InTrust waa ururinta, falanqaynta iyo kaydinta xogta aan habaysanayn, taas oo horeba u lahayd boqollaal falcelino hore loo sii qeexay oo ku saabsan noocyada kala duwan ee weerarrada.
Marka barnaamijka la furo, waxaa lagu shubaa xusuusta kombiyuutarka. Faylka la fulin karo wuxuu ka kooban yahay tilmaamaha kombuyuutarka iyo maktabadaha taageeraya (tusaale, * .dll). Marka habsocodku horeba u socdo, waxay abuuri kartaa dunyo dheeraad ah. Xargaha ayaa u oggolaanaya habsocodka in uu fuliyo tilmaamo kala duwan isku mar. Waxaa jira habab badan oo code xaasidnimo ah uu u galo xusuusta oo uu u ordo, aan eegno qaar ka mid ah.
Habka ugu fudud ee lagu bilaabi karo habka xaasidnimada ah waa in lagu qasbo isticmaalaha inuu si toos ah u bilaabo (tusaale ahaan, lifaaqa emailka), ka dibna isticmaal furaha RunOnce si aad u furto mar kasta oo kombiyuutarka la shido. Tan waxa kale oo ka mid ah malware-ka βfaylal laβaanta ahβ kaas oo kaydiya qoraallada PowerShell ee furayaasha diiwaanka kuwaas oo lagu fuliyo iyada oo ku saleysan kic. Xaaladdan oo kale, qoraalka PowerShell waa kood xaasidnimo leh.
Dhibaatada sida tooska ah ugu socota malware waa in ay tahay hab la yaqaan oo si fudud loo ogaado. Malware-yada qaarkood waxay qabtaan waxyaabo badan oo xariif ah, sida isticmaalka hab kale si uu u bilaabo fulinta xusuusta. Sidaa darteed, nidaamku wuxuu abuuri karaa hab kale isagoo socodsiinaya tilmaamo kombiyuutar gaar ah oo qeexaya faylka la fulin karo (.exe) si uu u shaqeeyo.
Faylka waxaa lagu qeexi karaa iyadoo la isticmaalayo waddo buuxda (tusaale, C:Windowssystem32cmd.exe) ama qayb qayb ah (tusaale cmd.exe). Haddii habka asalka ah uu yahay mid aan ammaan ahayn, waxay u oggolaan doontaa barnaamijyada aan sharciga ahayn inay socdaan. Weerarku wuxuu u ekaan karaa sidan: hab-socodka wuxuu bilaabaa cmd.exe iyadoon la cayimin dariiqa buuxa, weeraryahanku wuxuu dhigayaa cmd.exe-kiisa meel si ay hawshu u bilowdo ka hor inta aan sharciga ahayn. Mar alla markii uu malware-ku socdo, waxay iyaduna bilaabi kartaa barnaamij sharci ah (sida C:Windowssystem32cmd.exe) si barnaamijkii asalka ahaa uu si fiican ugu sii shaqeeyo.
Kala duwanaanshiyaha weerarkii hore waa duritaan DLL ah oo loo galay habraac sharci ah. Marka hawshu bilaabato, waxay heshaa oo rartaa maktabado kordhiya shaqadeeda. Isticmaalka duritaanka DLL, weeraryahanku wuxuu abuuraa maktabad xaasidnimo leh oo leh magac isku mid ah iyo API sida mid sharci ah. Barnaamijku wuxuu ku shubaa maktabad xaasidnimo ah, oo isna, dhankiisa, wuxuu ku shubaa mid sharci ah, iyo, sida loo baahdo, wuxuu ugu yeeraa inuu fuliyo hawlgallada. Maktabadda xaasidnimada leh waxay bilaabataa inay u noqoto wakiil u ah maktabadda wanaagsan.
Siyaabo kale oo kood xaasidnimo ah lagu geliyo xusuusta waa in la geliyo hab aan badbaado lahayn oo hadda socda. Nidaamyadu waxay ka helaan fikrado ilo kala duwan - akhrinta shabakada ama faylasha. Caadi ahaan waxay sameeyaan jeeg si ay u hubiyaan in wax gelinta ay sharci tahay. Laakiin hababka qaarkood ma laha ilaalin habboon marka la fulinayo tilmaamaha. Weerarkan, ma jiro maktabad ku taal saxan ama fayl la fulin karo oo ka kooban kood xaasidnimo ah. Wax kasta waxa lagu kaydiyaa xusuusta oo ay la socoto habka laga faa'iidaysanayo.
Hadda aan eegno habka awood u siinaya ururinta dhacdooyinkan oo kale gudaha Windows iyo qaanuunka InTrust ee fulisa ka hortagga khatarahaas. Marka hore, aynu ka hawlgelino iyada oo loo marayo console maamulka InTrust.
Xeerku waxa uu isticmaalayaa awoodaha raadraaca nidaamka ee Windows OS. Nasiib darro, awood u yeelashada ururinta dhacdooyinkan oo kale waa mid aad uga fog cad. Waxa jira 3 dejin oo kooxeed oo kala duwan oo aad u baahan tahay inaad bedesho:
Habaynta Kombuyuutarka > Xeerarka > Dejinta Windows
Habaynta Kombuyuutarka
Habaynta Kombuyuutarka> Siyaasadaha> Qaababka Maamulka> Nidaamka> Abuuritaanka Hannaanka Hantidhawrka> Ku dar khadka taliska ee habsocodka abuurista
Marka la furo, sharciyada InTrust waxay kuu oggolaanayaan inaad ogaato hanjabaadaha aan hore loo aqoon ee muujinaya dabeecadaha shakiga leh. Tusaale ahaan, waad aqoonsan kartaa Dridex malware. Thanks to mashruuca HP Bromium, waan ognahay sida khatartani u shaqeyso.
Silsiladdeeda ficilada, Dridex waxay isticmaashaa schtasks.exe si ay u abuurto hawl qorshaysan. Isticmaalka qalabkan gaarka ah ee khadka taliska waxaa loo tixgeliyaa dabeecad aad looga shakisan yahay; bilaabista svchost.exe oo leh xaddidaadyo tilmaamaya galka isticmaalaha ama cabbirro la mid ah "aragtida saafiga ah" ama "whoami" amarada waxay u eg yihiin kuwo isku mid ah. Halkan waxaa ah qayb ka mid ah kuwa u dhigma :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust, dhammaan dabeecadaha laga shakiyo waxaa lagu daraa hal xeer, sababtoo ah inta badan falalkani maaha kuwo gaar u ah khatar gaar ah, laakiin waxay ku tuhmaan qalafsanaan iyo 99% kiisaska waxaa loo isticmaalaa ujeeddooyin sharaf leh. Liiskan falalka waxa ku jira, laakiin kuma koobna:
- Nidaamyada ka socda meelo aan caadi ahayn, sida galka ku meel gaadhka ah ee isticmaalaha.
- Habka si fiican loo yaqaan ee leh dhaxalka shakiga leh - hanjabaadaha qaar ayaa laga yaabaa inay isku dayaan inay isticmaalaan magaca hababka nidaamka si aan loo ogaan.
- Fulinta shakiga leh ee qalabka maamulka sida cmd ama PsExec marka ay isticmaalaan aqoonsiga nidaamka deegaanka ama dhaxalka shakiga leh.
- Hawlgallada nuqul ka shakiga leh ee hadhku waa dhaqanka caadiga ah ee fayrasyada ransomware ka hor inta aan la qarin nidaamka; waxay dilaan kaydinta:
- iyada oo loo marayo vssadmin.exe;
- Iyadoo loo marayo WMI. - Diiwaangeli qashin qubka dhammaan finan diwaanka
- Dhaqdhaqaaqa tooska ah ee koodka xaasidnimada ah marka habka la bilaabay meel fog iyadoo la adeegsanayo amarrada sida at.exe.
- Hawlgallada kooxda maxalliga ah ee shakiga leh iyo hawlgallada domainka iyadoo la adeegsanayo net.exe.
- Dhaqdhaqaaqa dab-demiska shakiga leh iyadoo la adeegsanayo netsh.exe.
- Wax isdabamarinta shakiga leh ee ACL.
- Isticmaalka BITS ee xogta sifeynta.
- Waxqabadyada laga shakiyo ee WMI.
- Amarada qoraalka shakiga leh.
- Isku dayga lagu daadinayo faylalka nidaamka ammaansan.
Xeerka la isku daray si fiican ayuu u shaqeeyaa si loo ogaado khataraha sida RUYK, LockerGoga iyo ransomware kale, malware iyo qalabyada dambiyada internetka. Xeerka waxa tijaabiyay iibiyuhu deegaanka wax soo saarka si loo yareeyo faa'iidooyinka beenta ah. Waxaana mahad iska leh mashruuca SIGMA, inta badan tilmaamayaashani waxay soo saaraan tiro yar oo ah dhacdooyin buuq ah.
Sababtoo ah Gudaha InTrust kani waa qaanuunka la socodka, waxaad samayn kartaa qoraal jawaab celin ahaan hanjabaad ahaan. Waxaad isticmaali kartaa mid ka mid ah qoraallada ku dhex jira ama waxaad abuuri kartaa adiga oo InTrust si toos ah ayey u qaybin doontaa.
Intaa waxaa dheer, waxaad kormeeri kartaa dhammaan telemetry dhacdooyinka la xiriira: Qoraallada PowerShell, habka fulinta, wax-ka-beddelka hawsha la qorsheeyay, hawlaha maamulka WMI, oo u isticmaal dhimashada dhimashada ka dib marka ay dhacaan shilalka amniga.
InTrust waxay leedahay boqollaal sharci oo kale, qaar ka mid ah:
- Ogaanshaha weerarka hoos u dhaca PowerShell waa marka qof si ula kac ah u isticmaalo nooc ka da' weyn oo PowerShell sababtoo ah... nuqulkii hore ma jirin si loo baaro waxa dhacaya.
- Ogaanshaha astaanta mudnaanta-sare waa marka koontooyinka xubnaha ka ah koox mudnaan leh (sida maamulayaasha bogga) ay u galaan goobaha shaqada si shil ah ama shilal amni dartood.
InTrust waxay kuu ogolaanaysaa inaad isticmaasho habdhaqanka amniga ee ugu fiican qaab ogaanshaha hore loo sii qeexay iyo sharciyada jawaabta. Oo haddii aad u malaynayso in wax si ka duwan u shaqeeyaan, waxaad samayn kartaa nuqul adiga kuu gaar ah oo qaanuunka ah oo u habayn sida loo baahdo. Waxaad soo gudbin kartaa codsiga samaynta duuliyaha ama helitaanka qalabyada qaybinta oo leh shati ku meel gaar ah bartayada internetka.
Subscribe noo , waxaan ku daabacnaa qoraalo gaagaaban iyo xiriiro xiiso leh halkaas.
Akhri maqaaladayada kale ee ku saabsan amniga macluumaadka:
(maqaal caan ah)
Source: www.habr.com