Një nga llojet më të zakonshme të sulmeve është pjellja e një procesi keqdashës në një pemë nën procese plotësisht të respektueshme. Rruga drejt skedarit të ekzekutueshëm mund të jetë e dyshimtë: malware shpesh përdor dosjet AppData ose Temp, dhe kjo nuk është tipike për programet legjitime. Për të qenë të drejtë, ia vlen të thuhet se disa shërbime të përditësimit automatik ekzekutohen në AppData, kështu që vetëm kontrollimi i vendndodhjes së nisjes nuk mjafton për të konfirmuar që programi është me qëllim të keq.
Një faktor shtesë legjitimiteti është një nënshkrim kriptografik: shumë programe origjinale nënshkruhen nga shitësi. Ju mund të përdorni faktin që nuk ka nënshkrim si një metodë për identifikimin e artikujve të dyshimtë të fillimit. Por përsëri ka një malware që përdor një certifikatë të vjedhur për të nënshkruar veten.
Ju gjithashtu mund të kontrolloni vlerën e hasheve kriptografike MD5 ose SHA256, të cilat mund të korrespondojnë me disa malware të zbuluar më parë. Ju mund të kryeni analiza statike duke parë nënshkrimet në program (duke përdorur rregullat Yara ose produkte antivirus). Ekziston gjithashtu analiza dinamike (drejtimi i një programi në një mjedis të sigurt dhe monitorimi i veprimeve të tij) dhe inxhinieri e kundërt.
Mund të ketë shumë shenja të një procesi keqdashës. Në këtë artikull do t'ju tregojmë se si të aktivizoni auditimin e ngjarjeve përkatëse në Windows, do të analizojmë shenjat në të cilat mbështetet rregulli i integruar për të identifikuar një proces të dyshimtë. InTrust është për mbledhjen, analizimin dhe ruajtjen e të dhënave të pastrukturuara, të cilat tashmë kanë qindra reagime të paracaktuara ndaj llojeve të ndryshme të sulmeve.
Kur programi niset, ai ngarkohet në memorien e kompjuterit. Skedari i ekzekutueshëm përmban udhëzime kompjuterike dhe biblioteka mbështetëse (për shembull, *.dll). Kur një proces tashmë po ekzekutohet, ai mund të krijojë fije shtesë. Thread-et lejojnë një proces të ekzekutojë grupe të ndryshme instruksionesh njëkohësisht. Ka shumë mënyra që kodi me qëllim të keq të depërtojë në kujtesë dhe të ekzekutojë, le të shohim disa prej tyre.
Mënyra më e lehtë për të nisur një proces me qëllim të keq është ta detyroni përdoruesin ta nisë atë drejtpërdrejt (për shembull, nga një bashkëngjitje e-mail), më pas përdorni tastin RunOnce për ta nisur sa herë që kompjuteri ndizet. Kjo përfshin gjithashtu malware "pa skedarë" që ruan skriptet PowerShell në çelësat e regjistrit që ekzekutohen bazuar në një shkas. Në këtë rast, skripti PowerShell është kod me qëllim të keq.
Problemi me përdorimin e qartë të malware është se është një qasje e njohur që zbulohet lehtësisht. Disa malware bëjnë gjëra më të zgjuara, të tilla si përdorimi i një procesi tjetër për të filluar ekzekutimin në memorie. Prandaj, një proces mund të krijojë një proces tjetër duke ekzekutuar një udhëzim specifik kompjuterik dhe duke specifikuar një skedar të ekzekutueshëm (.exe) për t'u ekzekutuar.
Skedari mund të specifikohet duke përdorur një shteg të plotë (për shembull, C:Windowssystem32cmd.exe) ose një shteg të pjesshëm (për shembull, cmd.exe). Nëse procesi origjinal është i pasigurt, ai do të lejojë që programet e paligjshme të ekzekutohen. Një sulm mund të duket kështu: një proces lëshon cmd.exe pa specifikuar rrugën e plotë, sulmuesi vendos cmd.exe e tij në një vend në mënyrë që procesi ta lëshojë atë përpara atij të ligjshëm. Sapo të ekzekutohet malware, ai nga ana e tij mund të nisë një program legjitim (siç është C:Windowssystem32cmd.exe) në mënyrë që programi origjinal të vazhdojë të funksionojë siç duhet.
Një variant i sulmit të mëparshëm është injektimi i DLL në një proces legjitim. Kur fillon një proces, ai gjen dhe ngarkon bibliotekat që zgjerojnë funksionalitetin e tij. Duke përdorur injeksionin DLL, një sulmues krijon një bibliotekë me qëllim të keq me të njëjtin emër dhe API si të ligjshme. Programi ngarkon një bibliotekë me qëllim të keq, dhe ajo, nga ana tjetër, ngarkon një të ligjshme dhe, sipas nevojës, e thërret atë për të kryer operacione. Biblioteka me qëllim të keq fillon të veprojë si një përfaqësues për bibliotekën e mirë.
Një mënyrë tjetër për të vendosur kodin me qëllim të keq në memorie është futja e tij në një proces të pasigurt që tashmë po funksionon. Proceset marrin të dhëna nga burime të ndryshme - leximi nga rrjeti ose skedarët. Ata zakonisht kryejnë një kontroll për të siguruar që të dhëna të jenë legjitime. Por disa procese nuk kanë mbrojtjen e duhur gjatë ekzekutimit të instruksioneve. Në këtë sulm, nuk ka asnjë bibliotekë në disk ose skedar të ekzekutueshëm që përmban kod me qëllim të keq. Gjithçka ruhet në memorie së bashku me procesin që shfrytëzohet.
Tani le të shohim metodologjinë për të mundësuar mbledhjen e ngjarjeve të tilla në Windows dhe rregullin në InTrust që zbaton mbrojtjen kundër kërcënimeve të tilla. Së pari, le ta aktivizojmë atë përmes konsolës së menaxhimit InTrust.
Rregulli përdor aftësitë e ndjekjes së procesit të Windows OS. Për fat të keq, mundësimi i grumbullimit të ngjarjeve të tilla nuk është aspak i qartë. Ekzistojnë 3 cilësime të ndryshme të Politikës së Grupit që duhet të ndryshoni:
Konfigurimi i kompjuterit > Politikat > Cilësimet e Windows > Cilësimet e sigurisë > Politikat lokale > Politika e auditimit > gjurmimi i procesit të auditimit
Konfigurimi i kompjuterit > Politikat > Cilësimet e Windows > Cilësimet e sigurisë > Konfigurimi i politikave të avancuara të auditimit > Politikat e auditimit > Ndjekja e detajuar > Krijimi i procesit të auditimit
Konfigurimi i kompjuterit > Politikat > Modelet administrative > Sistemi > Krijimi i procesit të auditimit > Përfshi linjën e komandës në ngjarjet e krijimit të procesit
Pasi të aktivizohen, rregullat e InTrust ju lejojnë të zbuloni kërcënime të panjohura më parë që shfaqin sjellje të dyshimta. Për shembull, ju mund të identifikoni Malware Dridex. Falë projektit HP Bromium, ne e dimë se si funksionon ky kërcënim.
Në zinxhirin e tij të veprimeve, Dridex përdor schtasks.exe për të krijuar një detyrë të planifikuar. Përdorimi i këtij mjeti të veçantë nga linja e komandës konsiderohet sjellje shumë e dyshimtë; nisja e svchost.exe me parametra që tregojnë dosjet e përdoruesit ose me parametra të ngjashëm me komandat "net view" ose "whoami" duket i ngjashëm. Këtu është një fragment i përkatësisë :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themNë InTrust, të gjitha sjelljet e dyshimta përfshihen në një rregull, sepse shumica e këtyre veprimeve nuk janë specifike për një kërcënim të veçantë, por përkundrazi janë të dyshimta në një kompleks dhe në 99% të rasteve përdoren për qëllime jo plotësisht fisnike. Kjo listë veprimesh përfshin, por nuk kufizohet vetëm në:
- Proceset që ekzekutohen nga vende të pazakonta, të tilla si dosjet e përkohshme të përdoruesit.
- Procesi i njohur i sistemit me trashëgimi të dyshimtë - disa kërcënime mund të përpiqen të përdorin emrin e proceseve të sistemit për të mbetur të pazbuluar.
- Ekzekutime të dyshimta të mjeteve administrative si cmd ose PsExec kur përdorin kredencialet e sistemit lokal ose trashëgimi të dyshimtë.
- Operacionet e dyshimta të kopjimit në hije janë një sjellje e zakonshme e viruseve ransomware përpara se të kriptohet një sistem; ata vrasin kopjet rezervë:
— Përmes vssadmin.exe;
- Përmes WMI. - Regjistroni deponitë e të gjitha koshereve të regjistrit.
- Lëvizja horizontale e kodit me qëllim të keq kur një proces niset nga distanca duke përdorur komanda të tilla si at.exe.
- Operacione të dyshimta të grupit lokal dhe operacione të domenit duke përdorur net.exe.
- Aktivitet i dyshimtë i murit të zjarrit duke përdorur netsh.exe.
- Manipulim i dyshimtë i ACL.
- Përdorimi i BITS për nxjerrjen e të dhënave.
- Manipulime të dyshimta me WMI.
- Komandat e dyshimta të skriptit.
- Përpjekjet për të hedhur skedarë të sigurt të sistemit.
Rregulli i kombinuar funksionon shumë mirë për të zbuluar kërcënime të tilla si RUYK, LockerGoga dhe mjete të tjera ransomware, malware dhe mjete të krimit kibernetik. Rregulli është testuar nga shitësi në mjediset e prodhimit për të minimizuar rezultatet false. Dhe falë projektit SIGMA, shumica e këtyre treguesve prodhojnë një numër minimal të ngjarjeve të zhurmës.
Sepse Në InTrust ky është një rregull monitorimi, ju mund të ekzekutoni një skript përgjigjeje si reagim ndaj një kërcënimi. Ju mund të përdorni një nga skriptet e integruara ose të krijoni tuajin dhe InTrust do ta shpërndajë atë automatikisht.
Përveç kësaj, ju mund të inspektoni të gjitha telemetrinë e lidhur me ngjarjet: skriptet PowerShell, ekzekutimin e procesit, manipulimet e planifikuara të detyrave, aktivitetin administrativ të WMI dhe t'i përdorni ato për vdekjet pas vdekjes gjatë incidenteve të sigurisë.
InTrust ka qindra rregulla të tjera, disa prej tyre:
- Zbulimi i një sulmi të zbritjes së PowerShell është kur dikush përdor qëllimisht një version më të vjetër të PowerShell sepse... në versionin e vjetër nuk kishte asnjë mënyrë për të audituar atë që po ndodhte.
- Zbulimi i hyrjes me privilegje të lartë është kur llogaritë që janë anëtarë të një grupi të caktuar të privilegjuar (si p.sh. administratorët e domenit) hyjnë në stacionet e punës rastësisht ose për shkak të incidenteve të sigurisë.
InTrust ju lejon të përdorni praktikat më të mira të sigurisë në formën e rregullave të paracaktuara të zbulimit dhe reagimit. Dhe nëse mendoni se diçka duhet të funksionojë ndryshe, mund të bëni kopjen tuaj të rregullit dhe ta konfiguroni atë sipas nevojës. Ju mund të paraqisni një aplikim për kryerjen e një piloti ose marrjen e kompleteve të shpërndarjes me licenca të përkohshme përmes në faqen tonë të internetit.
Regjistrohu në tonë , ne publikojmë shënime të shkurtra dhe lidhje interesante atje.
Lexoni artikujt tanë të tjerë mbi sigurinë e informacionit:
(artikull i njohur)
Burimi: www.habr.com