E 'ngoe ea mefuta e tloaelehileng ea litlhaselo ke ho hlahisa ts'ebetso e mpe sefateng tlas'a mekhoa e hlomphehang ka ho feletseng. Tsela e eang faeleng e sebetsang e ka 'na ea belaella: malware hangata e sebelisa li-folders tsa AppData kapa Temp,' me sena ha se tloaelehe bakeng sa mananeo a molaong. Ho bua ka toka, ho bohlokoa ho bolela hore lisebelisoa tse ling tsa ntlafatso ea othomathike li etsoa ho AppData, ka hona, ho sheba feela sebaka sa ho qala ha hoa lekana ho netefatsa hore lenaneo le kotsi.
Ntho e 'ngoe ea ho nepahala ke signature ea cryptographic: mananeo a mangata a pele a saennoe ke morekisi. U ka sebelisa taba ea hore ha ho na tekeno e le mokhoa oa ho khetholla lintho tse belaetsang tsa ho qala. Empa hape ho na le malware a sebelisang setifikeiti se utsoitsoeng ho saena.
U ka boela ua hlahloba boleng ba MD5 kapa SHA256 cryptographic hashes, e ka 'nang ea lumellana le malware a mang a kileng a fumanoa. U ka etsa tlhahlobo e tsitsitseng ka ho sheba li-signatures lenaneong (ho sebelisa melao ea Yara kapa lihlahisoa tsa antivirus). Ho boetse ho na le tlhahlobo e matla (ho tsamaisa lenaneo sebakeng se itseng se bolokehileng le ho beha leihlo liketso tsa lona) le boenjiniere ba morao.
Ho ka ba le matšoao a mangata a ts'ebetso e mpe. Sehloohong sena re tla u bolella mokhoa oa ho nolofalletsa tlhahlobo ea liketsahalo tse amehang ho Windows, re tla sekaseka matšoao ao molao o hahelletsoeng o itšetlehileng ka ona. ho hlwaya mokgoa o belaetsang. Intrust ke bakeng sa ho bokella, ho sekaseka le ho boloka data e sa hlophisoang, e seng e na le makholo a litloaelo tse boletsoeng esale pele mefuteng e fapaneng ea litlhaselo.
Ha lenaneo le qalisoa, le kenngoa mohopolong oa k'homphieutha. Faele e ka sebetswang e na le ditaelo tsa komporo le dilaeborari tse tshehetsang (mohlala, *.dll). Ha ts'ebetso e se e ntse e sebetsa, e ka theha likhoele tse ling. Likhoele li lumella mokhoa oa ho phethahatsa lihlopha tse fapaneng tsa litaelo ka nako e le 'ngoe. Ho na le mekhoa e mengata ea hore khoutu e mpe e kenelle mohopolong ebe e matha, ha re shebeng tse ling tsa tsona.
Mokhoa o bonolo oa ho qala ts'ebetso e mpe ke ho qobella mosebelisi ho e qala ka kotloloho (mohlala, ho tsoa ho sehokelo sa lengolo-tsoibila), ebe o sebelisa konopo ea RunOnce ho e qala nako le nako ha komporo e buloa. Sena se boetse se kenyelletsa malware a "fileless" a bolokang mangolo a PowerShell ka likonopo tsa ngoliso tse etsoang ho ipapisitsoe le se qalang. Tabeng ena, mongolo oa PowerShell ke khoutu e kotsi.
Bothata ba ho sebelisa malware ka ho hlaka ke hore ke mokhoa o tsebahalang o bonoang habonolo. Tse ling tsa malware li etsa lintho tse bohlale ho feta, joalo ka ho sebelisa mokhoa o mong ho qala ho li hopola. Ka hona, ts'ebetso e ka theha ts'ebetso e 'ngoe ka ho tsamaisa taelo e itseng ea komporo le ho hlakisa faele e ka phethisoang (.exe) e lokelang ho sebetsa.
Faele e ka hlalosoa ho sebelisoa tsela e felletseng (mohlala, C:Windowssystem32cmd.exe) kapa tsela e sa fellang (mohlala, cmd.exe). Haeba ts'ebetso ea pele e sa sireletseha, e tla lumella mananeo a seng molaong ho sebetsa. Tlhaselo e ka shebahala tjena: ts'ebetso e qala cmd.exe ntle le ho hlalosa tsela e feletseng, mohlaseli o beha cmd.exe ea hae sebakeng e le hore ts'ebetso e e hlahise pele ho e nepahetseng. Hang ha malware a sebetsa, e ka hlahisa lenaneo le nepahetseng (joaloka C:Windowssystem32cmd.exe) e le hore lenaneo la pele le tsoele pele ho sebetsa hantle.
Phapang ea tlhaselo e fetileng ke ente ea DLL ts'ebetsong e nepahetseng. Ha ts'ebetso e qala, e fumana le ho kenya lilaebrari tse eketsang ts'ebetso ea eona. U sebelisa ente ea DLL, mohlaseli o etsa laebrari e mpe e nang le lebitso le tšoanang le API e le e molaong. Lenaneo le jara laebrari e mpe, 'me le eona, e jara e nepahetseng,' me, ha ho hlokahala, e e bitsa ho etsa ts'ebetso. Laeborari e kotsi e qala ho sebetsa e le moemeli oa laebrari e ntle.
Tsela e 'ngoe ea ho kenya khoutu e kotsi mohopolong ke ho e kenya ts'ebetsong e sa bolokehang e seng e ntse e sebetsa. Mekhoa e fumana lintlha ho tsoa mehloling e fapaneng - ho bala ho tsoa marang-rang kapa lifaeleng. Hangata ba etsa cheke ho etsa bonnete ba hore tlhahiso e nepahetse. Empa mekhoa e meng ha e na tšireletso e nepahetseng ha ho etsoa litaelo. Tlhaselong ena, ha ho laebrari ho disk kapa faele e sebetsang e nang le khoutu e kotsi. Ntho e 'ngoe le e' ngoe e bolokiloe mohopolong hammoho le ts'ebetso e sebelisoang hampe.
Joale ha re shebeng mokhoa oa ho nolofalletsa pokello ea liketsahalo tse joalo ho Windows le molao ho InTrust o sebelisang ts'ireletso khahlanong le litšokelo tse joalo. Taba ea pele, a re e sebeliseng ka khomphutha ea tsamaiso ea InTrust.
Molao ona o sebelisa bokhoni ba ho latela mokhoa oa Windows OS. Ka bomalimabe, ho nolofalletsa pokello ea liketsahalo tse joalo ho hole haholo. Ho na le litlhophiso tse 3 tse fapaneng tsa Leano la Sehlopha tseo u hlokang ho li fetola:
Tlhophiso ea Khomphutha> Maano> Litlhophiso tsa Windows> Litlhophiso tsa Ts'ireletso> Melao ea Lehae> Leano la Audit> Ts'ebetso ea tlhahlobo ea tlhahlobo.
Tlhophiso ea Khomphutha> Maano> Litlhophiso tsa Windows> Litlhophiso tsa Ts'ireletso> Tlhophiso e tsoetseng pele ea Leano la Audit> Maano a Audit> Tracking e felletseng> Thepa ea ts'ebetso ea Audit
Tlhophiso ea Khomphutha > Maano > Lithempleite tsa Tsamaiso > Sistimi > Tlhahiso ea Ts'ebetso ea Audit > Kenyelletsa mola oa taelo liketsahalong tsa tlhahiso ea ts'ebetso.
Ha e se e lumelletsoe, melao ea InTrust e u lumella ho bona litšokelo tse neng li sa tsejoe pele tse bontšang boitšoaro bo belaetsang. Ka mohlala, u ka tseba Dridex malware. Ka lebaka la morero oa HP Bromium, rea tseba hore na tšokelo ena e sebetsa joang.
Letotong la eona la liketso, Dridex e sebelisa schtasks.exe ho theha mosebetsi o reriloeng. Ho sebelisa ts'ebeliso ena ho tsoa moleng oa taelo ho nkoa e le boitšoaro bo belaetsang haholo; ho qala svchost.exe ka li-parameter tse supang lifoldara tsa basebelisi kapa ka li-parameter tse ts'oanang le litaelo tsa "netview" kapa "whoami" li shebahala joalo. Mona ke sekhechana sa tse tsamaellanang :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themHo InTrust, boitšoaro bohle bo belaetsang bo kenyelelitsoe molaong o le mong, hobane boholo ba liketso tsena ha li tobane le tšokelo e itseng, empa ho e-na le hoo li belaella ka mokhoa o rarahaneng 'me ho 99% ea linyeoe li sebelisetsoa merero e sa tloaelehang ka ho feletseng. Lethathamo lena la liketso le kenyeletsa, empa ha le felle feela ho:
- Mekhoa e sebetsang ho tsoa libakeng tse sa tloaelehang, joalo ka lifoldara tsa nakoana tsa basebelisi.
- Ts'ebetso e tsebahalang ea sistimi e nang le lefa le belaetsang - litšokelo tse ling li ka leka ho sebelisa lebitso la lits'ebetso tsa sistimi hore li lule li sa bonoe.
- Ts'ebetso e belaetsang ea lisebelisoa tsa tsamaiso joalo ka cmd kapa PsExec ha ba sebelisa mangolo a netefatso a sistimi ea lehae kapa lefa le belaetsang.
- Ts'ebetso e belaetsang ea likopi tsa moriti ke boits'oaro bo tloaelehileng ba livaerase tsa ransomware pele o notlela sistimi; ba bolaea li-backups:
- ka vssadmin.exe;
- Ka WMI. - Ngolisa lithōle tsa libaka tsohle tsa ngoliso.
- Motsamao o otlolohileng oa khoutu e kotsi ha ts'ebetso e qala ho sebelisoa u le hole le litaelo tse kang at.exe.
- Ts'ebetso e belaetsang ea sehlopha sa lehae le ts'ebetso ea domain e sebelisa net.exe.
- Ketso e belaetsang ea firewall e sebelisang netsh.exe.
- Ho qhekella ho belaetsang ha ACL.
- Ho sebelisa BITS bakeng sa phetiso ea data.
- Liphetoho tse belaetsang ka WMI.
- Litaelo tsa mongolo tse belaetsang.
- Boiteko ba ho lahla lifaele tsa sistimi e sireletsehileng.
Molao o kopantsoeng o sebetsa hantle haholo ho lemoha litšokelo tse kang RUYK, LockerGoga le lisebelisoa tse ling tsa ransomware, malware le cybercrime toolkits. Molao o lekoa ke morekisi libakeng tsa tlhahiso ho fokotsa maikutlo a fosahetseng. 'Me ka lebaka la morero oa SIGMA, boholo ba matšoao ana a hlahisa palo e fokolang ea liketsahalo tsa lerata.
Hobane Ho InTrust ona ke molao oa ho beha leihlo, o ka etsa sengoloa sa karabo joalo ka karabelo ho ts'okelo. U ka sebelisa e 'ngoe ea mangolo a hahelletsoeng ka hare kapa u iketsetse ea hau' me InTrust e tla e aba ka bo eona.
Ntle le moo, o ka hlahloba telemetry eohle e amanang le ketsahalo: Lingoloa tsa PowerShell, ts'ebetso ea ts'ebetso, manollo e hlophisitsoeng ea mosebetsi, ts'ebetso ea tsamaiso ea WMI, 'me u li sebelise bakeng sa lipolao tsa morao nakong ea liketsahalo tsa ts'ireletso.
InTrust e na le melao e meng e makholo, e meng ea eona:
- Ho bona tlhaselo e tlase ea PowerShell ke ha motho a sebelisa ka boomo mofuta oa khale oa PowerShell hobane ... phetolelong ea khale ho ne ho se mokhoa oa ho hlahloba se neng se etsahala.
- Ho lemoha li-logo tsa maemo a holimo ke ha liakhaonto tseo e leng litho tsa sehlopha se itseng se khethehileng (joaloka balaoli ba li-domain) li kena litsing tsa mosebetsi ka tsietsi kapa ka lebaka la liketsahalo tsa ts'ireletso.
InTrust e u lumella ho sebelisa mekhoa e metle ea ts'ireletso ka mokhoa o boletsoeng esale pele oa ho tseba le melao ea karabelo. 'Me haeba u nahana hore ho na le ntho e lokelang ho sebetsa ka tsela e fapaneng, u ka iketsetsa kopi ea molao' me u e lokise ha ho hlokahala. U ka kenya kopo ea ho khanna sefofane kapa ho fumana lisebelisoa tsa ho aba ka lilaesense tsa nakoana ka webosaeteng ea rona.
Ngolisa ho rona , re phatlalatsa lintlha tse khutšoanyane le li-link tse thahasellisang moo.
Bala lingoliloeng tsa rona tse ling mabapi le ts'ireletso ea tlhahisoleseling:
(sengoloa se tsebahalang)
Source: www.habr.com