Salah sahiji jinis serangan anu paling umum nyaéta panyebaran prosés jahat dina tangkal dina prosés anu terhormat. Jalur ka file anu tiasa dieksekusi tiasa curiga: malware sering nganggo polder AppData atanapi Temp, sareng ieu sanés khas pikeun program anu sah. Janten adil, éta patut nyebutkeun yén sababaraha utilitas update otomatis dieksekusi dina AppData, jadi ngan mariksa lokasi peluncuran teu cukup pikeun mastikeun yén program éta jahat.
Faktor tambahan legitimasi nyaéta tanda tangan kriptografi: seueur program asli ditandatanganan ku anu ngajual. Anjeun tiasa nganggo kanyataan yén teu aya tanda tangan salaku padika pikeun ngaidentipikasi barang ngamimitian anu curiga. Tapi lajeng deui aya malware anu ngagunakeun sertipikat dipaling pikeun asup sorangan.
Anjeun oge tiasa mariksa nilai hash kriptografi MD5 atanapi SHA256, anu tiasa pakait sareng sababaraha malware anu dideteksi sateuacana. Anjeun tiasa ngalakukeun analisa statik ku ningali tanda tangan dina program (nganggo aturan Yara atanapi produk antipirus). Aya ogé analisa dinamis (ngajalankeun program dina sababaraha lingkungan anu aman sareng ngawaskeun lampahna) sareng rékayasa sabalikna.
Aya tiasa seueur tanda tina prosés jahat. Dina tulisan ieu kami bakal nyarioskeun ka anjeun kumaha ngaktifkeun pamariksaan acara anu relevan dina Windows, kami bakal nganalisis tanda-tanda anu ngandelkeun aturan anu diwangun. pikeun ngaidentipikasi prosés anu curiga. InTrust nyaeta pikeun ngumpulkeun, nganalisa sareng nyimpen data anu teu terstruktur, anu parantos ngagaduhan ratusan réaksi anu tos siap pikeun sagala rupa serangan.
Nalika program diluncurkeun, éta dimuat kana mémori komputer. Berkas anu tiasa dieksekusi ngandung paréntah komputer sareng perpustakaan anu ngadukung (contona, *.dll). Nalika prosés parantos jalan, éta tiasa nyiptakeun utas tambahan. Threads ngamungkinkeun prosés pikeun ngaéksekusi sét paréntah anu béda sakaligus. Aya seueur cara pikeun kode jahat nembus mémori sareng ngajalankeun, hayu urang tingali sababaraha di antarana.
Cara panggampangna pikeun ngaluncurkeun prosés jahat nyaéta maksa pangguna pikeun ngaluncurkeunana langsung (contona, tina lampiran email), teras nganggo konci RunOnce pikeun ngaluncurkeunana unggal waktos komputer dihurungkeun. Ieu ogé kalebet malware "fileless" anu nyimpen skrip PowerShell dina konci pendaptaran anu dieksekusi dumasar kana pemicu. Dina hal ieu, skrip PowerShell mangrupikeun kode jahat.
Masalah sareng sacara eksplisit ngajalankeun malware nyaéta yén éta mangrupikeun pendekatan anu dikenal anu gampang dideteksi. Sababaraha malware ngalakukeun hal-hal anu langkung pinter, sapertos ngagunakeun prosés anu sanés pikeun ngamimitian ngaéksekusi dina mémori. Ku alatan éta, hiji prosés bisa nyieun prosés séjén ku ngajalankeun hiji instruksi komputer husus tur nangtukeun hiji file laksana (.exe) pikeun ngajalankeun.
file bisa dieusian maké jalur pinuh (contona, C:Windowssystem32cmd.exe) atawa jalur parsial (contona, cmd.exe). Upami prosés aslina henteu aman, éta bakal ngijinkeun program anu henteu sah dijalankeun. Serangan tiasa sapertos kieu: prosés ngaluncurkeun cmd.exe tanpa netepkeun jalur anu lengkep, panyerang nempatkeun cmd.exe na dina hiji tempat supados prosésna diluncurkeun sateuacan anu sah. Sakali malware dijalankeun, éta tiasa ngaluncurkeun program anu sah (sapertos C:Windowssystem32cmd.exe) supados program asli tiasa dianggo leres.
Variasi tina serangan saméméhna nyaéta suntikan DLL kana prosés anu sah. Nalika prosés dimimitian, éta mendakan sareng ngamuat perpustakaan anu manjangkeun fungsionalitasna. Nganggo suntikan DLL, panyerang nyiptakeun perpustakaan jahat kalayan nami anu sami sareng API salaku anu sah. Program éta ngamuat perpustakaan jahat, sareng éta, kahareupna ngamuat anu sah, sareng, upami diperyogikeun, nyauran éta pikeun ngalakukeun operasi. Perpustakaan jahat mimiti bertindak salaku proxy pikeun perpustakaan anu saé.
Cara séjén pikeun nempatkeun kode jahat kana mémori nyaéta ngalebetkeun kana prosés anu teu aman anu parantos jalan. Prosés nampi input ti sababaraha sumber - maca tina jaringan atanapi file. Aranjeunna biasana ngalaksanakeun cek pikeun mastikeun yén inputna sah. Tapi sababaraha prosés henteu ngagaduhan panyalindungan anu leres nalika ngalaksanakeun paréntah. Dina serangan ieu, teu aya perpustakaan dina disk atanapi file laksana anu ngandung kode jahat. Sadayana disimpen dina mémori sareng prosés anu dieksploitasi.
Ayeuna hayu urang tingali metodologi pikeun ngaktipkeun kumpulan acara sapertos dina Windows sareng aturan di InTrust anu ngalaksanakeun panyalindungan ngalawan ancaman sapertos kitu. Mimiti, hayu urang aktipkeun ngaliwatan konsol manajemén InTrust.
Aturan ngagunakeun kamampuan tracking prosés tina OS Windows. Hanjakalna, ngaktifkeun kumpulan acara sapertos kitu jauh tina atra. Aya 3 setélan Kabijakan Grup anu béda anu anjeun kedah robih:
Konfigurasi Komputer> Kabijakan> Setélan Windows> Setélan Kaamanan> Kabijakan Lokal> Kabijakan Audit> Pelacak prosés audit
Konfigurasi Komputer > Kabijakan > Setélan Windows > Setélan Kaamanan > Konfigurasi Kabijakan Inok Lanjutan > Kawijakan Inok > Pelacakan Detil > Nyiptakeun prosés Inok
Konfigurasi Komputer> Kabijakan> Témplat Administratif> Sistem> Penciptaan Prosés Inok> Kalebet garis paréntah dina acara nyiptakeun prosés
Sakali diaktipkeun, aturan InTrust ngamungkinkeun anjeun pikeun ngadeteksi ancaman anu teu dipikanyaho sateuacana anu nunjukkeun paripolah anu curiga. Contona, Anjeun bisa nangtukeun Dridex malware. Hatur nuhun kana proyék HP Bromium, urang terang kumaha ancaman ieu jalan.
Dina ranté lampahna, Dridex ngagunakeun schtasks.exe pikeun nyieun tugas anu dijadwalkeun. Ngagunakeun utilitas tinangtu ieu tina garis paréntah dianggap paripolah anu curiga pisan; ngaluncurkeun svchost.exe kalayan parameter anu nunjuk ka polder pangguna atanapi sareng parameter anu sami sareng paréntah "net view" atanapi "whoami" sami. Di handap ieu sempalan tina pakait :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themDina InTrust, sadaya paripolah anu curiga kalebet dina hiji aturan, sabab kalolobaan tindakan ieu henteu khusus pikeun ancaman anu khusus, tapi langkung curiga dina kompleks sareng dina 99% kasus dianggo pikeun tujuan anu henteu mulya. Daptar lampah ieu kalebet, tapi henteu dugi ka:
- Prosés jalan ti lokasi anu teu biasa, sapertos polder samentawis pangguna.
- Prosés sistem anu kasohor kalayan warisan anu curiga - sababaraha ancaman tiasa nyobian nganggo nami prosés sistem pikeun tetep teu kadeteksi.
- Eksekusi anu curiga tina alat administrasi sapertos cmd atanapi PsExec nalika aranjeunna nganggo kapercayaan sistem lokal atanapi warisan anu curiga.
- Operasi salinan bayangan anu curiga mangrupikeun kabiasaan umum tina virus ransomware sateuacan énkripsi sistem; aranjeunna maéhan cadangan:
- Via vssadmin.exe;
- Ngaliwatan WMI. - Ngadaptar dumps sakabéh hives pendaptaran.
- Gerakan horisontal kode jahat nalika prosés diluncurkeun jarak jauh nganggo paréntah sapertos at.exe.
- Operasi grup lokal curiga sareng operasi domain nganggo net.exe.
- Aktivitas firewall anu curiga nganggo netsh.exe.
- Manipulasi curiga tina ACL.
- Ngagunakeun BITS pikeun exfiltration data.
- Manipulasi curiga sareng WMI.
- Paréntah naskah curiga.
- Usaha pikeun ngabuang file sistem anu aman.
Aturan gabungan tiasa dianggo pisan pikeun ngadeteksi ancaman sapertos RUYK, LockerGoga sareng ransomware sanés, malware sareng toolkit cybercrime. Aturanna parantos diuji ku padagang di lingkungan produksi pikeun ngaminimalkeun positip palsu. Sareng hatur nuhun kana proyék SIGMA, kalolobaan indikator ieu ngahasilkeun jumlah minimal acara bising.
Sabab Dina InTrust ieu mangrupikeun aturan ngawaskeun, anjeun tiasa ngaéksekusi naskah réspon salaku réaksi kana ancaman. Anjeun tiasa nganggo salah sahiji skrip anu diwangun atanapi ngadamel anjeun nyalira sareng InTrust bakal otomatis nyebarkeunana.
Salaku tambahan, anjeun tiasa mariksa sadaya telemétri anu aya hubunganana sareng acara: skrip PowerShell, palaksanaan prosés, manipulasi tugas anu dijadwalkeun, kagiatan administrasi WMI, sareng dianggo pikeun post-mortem nalika aya kajadian kaamanan.
InTrust ngagaduhan ratusan aturan anu sanés, sababaraha diantarana:
- Ngadeteksi serangan downgrade PowerShell nyaéta nalika aya anu ngahaja ngagunakeun versi PowerShell anu langkung lami sabab... dina versi heubeul teu aya cara pikeun ngaudit naon anu lumangsung.
- Deteksi logon hak husus anu luhur nyaéta nalika akun anu mangrupa anggota grup hak husus anu tangtu (sapertos pangurus domain) asup ka workstation ku teu kahaja atanapi kusabab insiden kaamanan.
InTrust ngamungkinkeun anjeun ngagunakeun prakték kaamanan pangsaéna dina bentuk aturan deteksi sareng réaksi anu tos siap. Tur upami Anjeun salah mikir yén hal kedah dianggo béda, anjeun bisa nyieun salinan sorangan aturan jeung ngonpigurasikeun sakumaha diperlukeun. Anjeun tiasa ngalebetkeun aplikasi pikeun ngalaksanakeun pilot atanapi kéngingkeun kit distribusi kalayan lisénsi samentawis dina halaman wéb kami.
Ngalanggan kami , urang nyebarkeun catetan pondok tur metot Tumbu aya.
Baca artikel kami anu sanés ngeunaan kaamanan inpormasi:
(artikel populér)
sumber: www.habr.com