Moja ya aina ya kawaida ya mashambulizi ni kuzaliana kwa mchakato mbaya katika mti chini ya taratibu za heshima kabisa. Njia ya faili inayoweza kutekelezwa inaweza kuwa ya shaka: programu hasidi mara nyingi hutumia folda za AppData au Temp, na hii sio kawaida kwa programu halali. Ili kuwa sawa, inafaa kusema kuwa huduma zingine za sasisho za kiotomatiki zinatekelezwa katika AppData, kwa hivyo kuangalia tu eneo la uzinduzi haitoshi kudhibitisha kuwa programu hiyo ni mbaya.
Sababu ya ziada ya uhalali ni saini ya cryptographic: programu nyingi za awali zinasainiwa na muuzaji. Unaweza kutumia ukweli kwamba hakuna saini kama njia ya kutambua vipengee vya kutiliwa shaka vya kuanza. Lakini tena kuna programu hasidi ambayo hutumia cheti kilichoibiwa ili kujiandikisha.
Unaweza pia kuangalia thamani ya MD5 au SHA256 heshi za kriptografia, ambazo zinaweza kuendana na programu hasidi iliyotambuliwa hapo awali. Unaweza kufanya uchambuzi wa tuli kwa kuangalia saini katika programu (kwa kutumia sheria za Yara au bidhaa za antivirus). Pia kuna uchanganuzi unaobadilika (kuendesha programu katika mazingira fulani salama na kufuatilia vitendo vyake) na kubadilisha uhandisi.
Kunaweza kuwa na ishara nyingi za mchakato mbaya. Katika makala hii tutakuambia jinsi ya kuwezesha ukaguzi wa matukio muhimu katika Windows, tutachambua ishara ambazo sheria iliyojengwa inategemea. kutambua mchakato unaotiliwa shaka. Kuaminiana ni kwa kukusanya, kuchambua na kuhifadhi data ambayo haijaundwa, ambayo tayari ina mamia ya miitikio iliyoainishwa kwa aina mbalimbali za mashambulizi.
Wakati programu inapozinduliwa, inapakiwa kwenye kumbukumbu ya kompyuta. Faili inayoweza kutekelezwa ina maagizo ya kompyuta na maktaba zinazosaidia (kwa mfano, *.dll). Wakati mchakato tayari unaendelea, unaweza kuunda nyuzi za ziada. Minyororo huruhusu mchakato kutekeleza seti tofauti za maagizo kwa wakati mmoja. Kuna njia nyingi za msimbo hasidi kupenya kumbukumbu na kukimbia, wacha tuangalie baadhi yao.
Njia rahisi zaidi ya kuzindua mchakato mbaya ni kumlazimisha mtumiaji kuzindua moja kwa moja (kwa mfano, kutoka kwa kiambatisho cha barua pepe), kisha utumie kitufe cha RunOnce ili kuzindua kila wakati kompyuta inapowashwa. Hii pia inajumuisha programu hasidi "isiyo na faili" ambayo huhifadhi hati za PowerShell katika funguo za usajili ambazo hutekelezwa kulingana na kichochezi. Katika kesi hii, hati ya PowerShell ni msimbo hasidi.
Tatizo la kuendesha programu hasidi ni kwamba ni mbinu inayojulikana ambayo hugunduliwa kwa urahisi. Baadhi ya programu hasidi hufanya mambo ya werevu zaidi, kama vile kutumia mchakato mwingine kuanza kutekeleza kwenye kumbukumbu. Kwa hivyo, mchakato unaweza kuunda mchakato mwingine kwa kuendesha maagizo mahususi ya kompyuta na kubainisha faili inayoweza kutekelezwa (.exe) ya kuendeshwa.
Faili inaweza kutajwa kwa kutumia njia kamili (kwa mfano, C:Windowssystem32cmd.exe) au njia ya sehemu (kwa mfano, cmd.exe). Ikiwa mchakato wa asili sio salama, itaruhusu programu zisizo halali kufanya kazi. Shambulio linaweza kuonekana kama hii: mchakato unazindua cmd.exe bila kutaja njia kamili, mshambuliaji huweka cmd.exe yake mahali ili mchakato uizindua kabla ya halali. Mara tu programu hasidi inapofanya kazi, inaweza kwa upande wake kuzindua programu halali (kama vile C:Windowssystem32cmd.exe) ili programu asili iendelee kufanya kazi ipasavyo.
Tofauti ya shambulio la awali ni sindano ya DLL katika mchakato halali. Mchakato unapoanza, hupata na kupakia maktaba zinazopanua utendakazi wake. Kwa kutumia sindano ya DLL, mshambulizi huunda maktaba hasidi yenye jina sawa na API kama iliyo halali. Programu inapakia maktaba mbaya, na, kwa upande wake, inapakia halali, na, kama inahitajika, inaiita kufanya shughuli. Maktaba hasidi huanza kufanya kama wakala wa maktaba nzuri.
Njia nyingine ya kuweka msimbo hasidi kwenye kumbukumbu ni kuiingiza kwenye mchakato usio salama ambao tayari unaendelea. Taratibu hupokea pembejeo kutoka kwa vyanzo mbalimbali - kusoma kutoka kwa mtandao au faili. Kwa kawaida hufanya ukaguzi ili kuhakikisha kuwa ingizo ni halali. Lakini michakato mingine haina ulinzi sahihi wakati wa kutekeleza maagizo. Katika shambulio hili, hakuna maktaba kwenye diski au faili inayoweza kutekelezeka iliyo na msimbo hasidi. Kila kitu kinahifadhiwa kwenye kumbukumbu pamoja na mchakato unaotumiwa.
Sasa hebu tuangalie mbinu ya kuwezesha mkusanyiko wa matukio kama haya katika Windows na sheria katika InTrust inayotekelezea ulinzi dhidi ya vitisho kama hivyo. Kwanza, hebu tuiwashe kupitia kiweko cha usimamizi cha InTrust.
Sheria hutumia uwezo wa kufuatilia mchakato wa Windows OS. Kwa bahati mbaya, kuwezesha mkusanyiko wa matukio kama haya ni mbali na dhahiri. Kuna mipangilio 3 tofauti ya Sera ya Kikundi unayohitaji kubadilisha:
Usanidi wa Kompyuta > Sera > Mipangilio ya Windows > Mipangilio ya Usalama > Sera za Mitaa > Sera ya Ukaguzi > Ufuatiliaji wa mchakato wa ukaguzi
Usanidi wa Kompyuta > Sera > Mipangilio ya Windows > Mipangilio ya Usalama > Usanidi wa Sera ya Ukaguzi wa Kina > Sera za Ukaguzi > Ufuatiliaji wa Kina > Uundaji wa mchakato wa ukaguzi
Usanidi wa Kompyuta > Sera > Violezo vya Utawala > Mfumo > Uundaji wa Mchakato wa Ukaguzi > Jumuisha mstari wa amri katika matukio ya uundaji wa mchakato
Baada ya kuwezeshwa, sheria za InTrust hukuruhusu kugundua vitisho visivyojulikana hapo awali ambavyo vinaonyesha tabia ya kutiliwa shaka. Kwa mfano, unaweza kutambua Programu hasidi ya Dridex. Shukrani kwa mradi wa HP Bromium, tunajua jinsi tishio hili linavyofanya kazi.
Katika mlolongo wake wa vitendo, Dridex hutumia schtasks.exe kuunda kazi iliyoratibiwa. Kutumia huduma hii kutoka kwa safu ya amri inachukuliwa kuwa tabia ya kutiliwa shaka sana; kuzindua svchost.exe na vigezo vinavyoelekeza kwenye folda za watumiaji au na vigezo sawa na "mwonekano wa wavu" au amri za "whoami" inaonekana sawa. Hapa kuna kipande cha sambamba :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themKatika InTrust, tabia zote za kutiliwa shaka zinajumuishwa katika sheria moja, kwa sababu nyingi ya vitendo hivi sio maalum kwa tishio fulani, lakini badala yake ni ya kutiliwa shaka katika hali ngumu na katika 99% ya kesi hutumiwa kwa madhumuni yasiyofaa kabisa. Orodha hii ya vitendo inajumuisha, lakini sio tu kwa:
- Michakato inayoendeshwa kutoka maeneo yasiyo ya kawaida, kama vile folda za muda za mtumiaji.
- Mchakato unaojulikana wa mfumo na urithi unaotiliwa shaka - vitisho vingine vinaweza kujaribu kutumia jina la michakato ya mfumo kubaki bila kutambuliwa.
- Utekelezaji wa kutiliwa shaka wa zana za usimamizi kama vile cmd au PsExec zinapotumia vitambulisho vya mfumo wa ndani au urithi unaotiliwa shaka.
- Shughuli za kutiliwa shaka za kunakili kivuli ni tabia ya kawaida ya virusi vya ukombozi kabla ya kusimba mfumo kwa njia fiche; huua chelezo:
- Kupitia vssadmin.exe;
- Kupitia WMI. - Sajili utupaji wa mizinga yote ya usajili.
- Usogeaji mlalo wa msimbo hasidi wakati mchakato unazinduliwa kwa mbali kwa kutumia amri kama vile at.exe.
- Shughuli za kutiliwa shaka za kikundi cha ndani na shughuli za kikoa kwa kutumia net.exe.
- Shughuli ya kutiliwa shaka ya ngome kwa kutumia netsh.exe.
- Udanganyifu wa kutiliwa shaka wa ACL.
- Kutumia BITS kwa uchujaji wa data.
- Udanganyifu wa kutiliwa shaka na WMI.
- Maagizo ya hati ya kutiliwa shaka.
- Majaribio ya kutupa faili za mfumo salama.
Sheria iliyojumuishwa hufanya kazi vizuri sana kugundua vitisho kama vile RUYK, LockerGoga na zana zingine za kikombozi, programu hasidi na zana za uhalifu wa mtandaoni. Sheria hiyo imejaribiwa na muuzaji katika mazingira ya uzalishaji ili kupunguza chanya za uwongo. Na kutokana na mradi wa SIGMA, viashiria hivi vingi vinatoa idadi ndogo ya matukio ya kelele.
Kwa sababu Katika InTrust hii ni sheria ya ufuatiliaji, unaweza kutekeleza hati ya majibu kama jibu kwa tishio. Unaweza kutumia mojawapo ya hati zilizojengewa ndani au uunde yako mwenyewe na InTrust itaisambaza kiotomatiki.
Kwa kuongeza, unaweza kukagua telemetry yote inayohusiana na tukio: Hati za PowerShell, utekelezaji wa mchakato, uboreshaji wa kazi ulioratibiwa, shughuli za usimamizi wa WMI, na kuzitumia kwa uchunguzi wa maiti wakati wa matukio ya usalama.
InTrust ina mamia ya sheria zingine, baadhi yao:
- Kugundua shambulio la chini la PowerShell ni wakati mtu hutumia kwa makusudi toleo la zamani la PowerShell kwa sababu... katika toleo la zamani hakukuwa na njia ya kukagua kilichokuwa kikifanyika.
- Utambuzi wa nembo wa hali ya juu ni wakati akaunti ambazo ni wanachama wa kikundi fulani maalum (kama vile wasimamizi wa vikoa) huingia kwenye vituo vya kazi kwa bahati mbaya au kwa sababu ya matukio ya usalama.
InTrust hukuruhusu kutumia mbinu bora za usalama katika mfumo wa ugunduzi na sheria za majibu zilizobainishwa. Na ikiwa unafikiri kuwa kitu kinapaswa kufanya kazi tofauti, unaweza kufanya nakala yako ya sheria na kuisanidi kama inahitajika. Unaweza kuwasilisha ombi la kuendesha majaribio au kupata vifaa vya usambazaji na leseni za muda kupitia kwenye wavuti yetu.
Jiandikishe kwa yetu , tunachapisha maelezo mafupi na viungo vya kuvutia huko.
Soma nakala zetu zingine juu ya usalama wa habari:
(makala maarufu)
Chanzo: mapenzi.com