மிகவும் பொதுவான வகை தாக்குதல்களில் ஒன்று, முற்றிலும் மரியாதைக்குரிய செயல்முறைகளின் கீழ் ஒரு மரத்தில் தீங்கிழைக்கும் செயல்முறையை உருவாக்குவதாகும். இயங்கக்கூடிய கோப்பிற்கான பாதை சந்தேகத்திற்குரியதாக இருக்கலாம்: தீம்பொருள் பெரும்பாலும் AppData அல்லது Temp கோப்புறைகளைப் பயன்படுத்துகிறது, மேலும் இது முறையான நிரல்களுக்கு பொதுவானதல்ல. சரியாகச் சொல்வதானால், AppData இல் சில தானியங்கி புதுப்பிப்பு பயன்பாடுகள் செயல்படுத்தப்படுகின்றன என்று சொல்வது மதிப்பு, எனவே நிரல் தீங்கிழைக்கும் என்பதை உறுதிப்படுத்த வெளியீட்டு இடத்தைச் சரிபார்ப்பது போதாது.
கிரிப்டோகிராஃபிக் கையொப்பம் சட்டபூர்வமானது: பல அசல் திட்டங்கள் விற்பனையாளரால் கையொப்பமிடப்படுகின்றன. சந்தேகத்திற்கிடமான தொடக்க உருப்படிகளை அடையாளம் காண ஒரு முறையாக கையொப்பம் இல்லை என்ற உண்மையை நீங்கள் பயன்படுத்தலாம். ஆனால் மீண்டும் ஒரு திருடப்பட்ட சான்றிதழைப் பயன்படுத்தி கையொப்பமிடும் தீம்பொருள் உள்ளது.
MD5 அல்லது SHA256 கிரிப்டோகிராஃபிக் ஹாஷ்களின் மதிப்பையும் நீங்கள் சரிபார்க்கலாம், இது முன்னர் கண்டறியப்பட்ட சில தீம்பொருளுடன் ஒத்திருக்கலாம். நிரலில் உள்ள கையொப்பங்களைப் பார்த்து நீங்கள் நிலையான பகுப்பாய்வு செய்யலாம் (யாரா விதிகள் அல்லது வைரஸ் தடுப்பு தயாரிப்புகளைப் பயன்படுத்தி). டைனமிக் பகுப்பாய்வு (சில பாதுகாப்பான சூழலில் ஒரு நிரலை இயக்குதல் மற்றும் அதன் செயல்களைக் கண்காணித்தல்) மற்றும் தலைகீழ் பொறியியல் ஆகியவையும் உள்ளன.
தீங்கிழைக்கும் செயல்முறையின் பல அறிகுறிகள் இருக்கலாம். இந்த கட்டுரையில் விண்டோஸில் தொடர்புடைய நிகழ்வுகளின் தணிக்கையை எவ்வாறு இயக்குவது என்பதை நாங்கள் உங்களுக்குக் கூறுவோம், உள்ளமைக்கப்பட்ட விதி நம்பியிருக்கும் அறிகுறிகளை நாங்கள் பகுப்பாய்வு செய்வோம்.
நிரல் தொடங்கப்பட்டதும், அது கணினியின் நினைவகத்தில் ஏற்றப்படும். இயங்கக்கூடிய கோப்பில் கணினி அறிவுறுத்தல்கள் மற்றும் துணை நூலகங்கள் உள்ளன (எடுத்துக்காட்டாக, *.dll). ஒரு செயல்முறை ஏற்கனவே இயங்கும் போது, அது கூடுதல் நூல்களை உருவாக்க முடியும். த்ரெட்கள் ஒரு செயல்முறையை ஒரே நேரத்தில் வெவ்வேறு வழிமுறைகளை இயக்க அனுமதிக்கின்றன. தீங்கிழைக்கும் குறியீடு நினைவகத்தில் ஊடுருவி இயக்க பல வழிகள் உள்ளன, அவற்றில் சிலவற்றைப் பார்ப்போம்.
தீங்கிழைக்கும் செயல்முறையைத் தொடங்குவதற்கான எளிதான வழி, பயனரை நேரடியாகத் தொடங்கும்படி கட்டாயப்படுத்துவதாகும் (உதாரணமாக, ஒரு மின்னஞ்சல் இணைப்பிலிருந்து), பின்னர் கணினி இயக்கப்படும் ஒவ்வொரு முறையும் அதை இயக்க RunOnce விசையைப் பயன்படுத்தவும். தூண்டுதலின் அடிப்படையில் செயல்படுத்தப்படும் ரெஜிஸ்ட்ரி கீகளில் பவர்ஷெல் ஸ்கிரிப்ட்களை சேமிக்கும் “கோப்பு இல்லாத” தீம்பொருளும் இதில் அடங்கும். இந்த வழக்கில், பவர்ஷெல் ஸ்கிரிப்ட் தீங்கிழைக்கும் குறியீடாகும்.
தீம்பொருளை வெளிப்படையாக இயக்குவதில் உள்ள சிக்கல் என்னவென்றால், இது எளிதில் கண்டறியக்கூடிய அறியப்பட்ட அணுகுமுறையாகும். சில தீம்பொருள்கள் நினைவகத்தில் இயங்கத் தொடங்குவதற்கு மற்றொரு செயல்முறையைப் பயன்படுத்துவது போன்ற மிகவும் புத்திசாலித்தனமான விஷயங்களைச் செய்கின்றன. எனவே, ஒரு செயல்முறையானது ஒரு குறிப்பிட்ட கணினி அறிவுறுத்தலை இயக்குவதன் மூலமும், இயங்கக்கூடிய கோப்பை (.exe) குறிப்பிடுவதன் மூலமும் மற்றொரு செயல்முறையை உருவாக்க முடியும்.
கோப்பை முழு பாதை (உதாரணமாக, C:Windowssystem32cmd.exe) அல்லது ஒரு பகுதி பாதை (எடுத்துக்காட்டாக, cmd.exe) பயன்படுத்தி குறிப்பிடலாம். அசல் செயல்முறை பாதுகாப்பற்றதாக இருந்தால், அது சட்டவிரோத நிரல்களை இயக்க அனுமதிக்கும். ஒரு தாக்குதல் இப்படி இருக்கும்: ஒரு செயல்முறையானது முழு பாதையையும் குறிப்பிடாமல் cmd.exe ஐ துவக்குகிறது, தாக்குபவர் தனது cmd.exe ஐ ஒரு இடத்தில் வைக்கிறார், இதனால் செயல்முறை அதை சட்டப்பூர்வமாக தொடங்கும். தீம்பொருள் இயங்கியதும், அது முறையான நிரலை (C:Windowssystem32cmd.exe போன்றவை) தொடங்கலாம், இதனால் அசல் நிரல் தொடர்ந்து சரியாக வேலை செய்யும்.
முந்தைய தாக்குதலின் மாறுபாடு ஒரு சட்டபூர்வமான செயல்பாட்டில் டிஎல்எல் உட்செலுத்துதல் ஆகும். ஒரு செயல்முறை தொடங்கும் போது, அதன் செயல்பாட்டை நீட்டிக்கும் நூலகங்களைக் கண்டறிந்து ஏற்றுகிறது. DLL இன்ஜெக்ஷனைப் பயன்படுத்தி, தாக்குபவர் அதே பெயரில் ஒரு தீங்கிழைக்கும் நூலகத்தை உருவாக்குகிறார். நிரல் ஒரு தீங்கிழைக்கும் நூலகத்தை ஏற்றுகிறது, மேலும் அது முறையான ஒன்றை ஏற்றுகிறது, மேலும், தேவைக்கேற்ப, செயல்பாடுகளைச் செய்ய அதை அழைக்கிறது. தீங்கிழைக்கும் நூலகம் நல்ல நூலகத்திற்கான பதிலாளராக செயல்படத் தொடங்குகிறது.
நினைவகத்தில் தீங்கிழைக்கும் குறியீட்டை வைப்பதற்கான மற்றொரு வழி, ஏற்கனவே இயங்கிக்கொண்டிருக்கும் பாதுகாப்பற்ற செயல்பாட்டில் அதைச் செருகுவதாகும். செயல்முறைகள் பல்வேறு ஆதாரங்களில் இருந்து உள்ளீட்டைப் பெறுகின்றன - நெட்வொர்க் அல்லது கோப்புகளிலிருந்து படிக்கும். உள்ளீடு முறையானதா என்பதை உறுதிப்படுத்த அவர்கள் பொதுவாக ஒரு சரிபார்ப்பைச் செய்கிறார்கள். ஆனால் சில செயல்முறைகளுக்கு வழிமுறைகளை செயல்படுத்தும் போது சரியான பாதுகாப்பு இல்லை. இந்தத் தாக்குதலில், தீங்கிழைக்கும் குறியீட்டைக் கொண்ட வட்டில் உள்ள நூலகம் அல்லது இயங்கக்கூடிய கோப்பு இல்லை. சுரண்டப்படும் செயல்முறையுடன் எல்லாம் நினைவகத்தில் சேமிக்கப்படுகிறது.
விண்டோஸில் இதுபோன்ற நிகழ்வுகளின் சேகரிப்பை இயக்குவதற்கான வழிமுறையையும், அத்தகைய அச்சுறுத்தல்களுக்கு எதிராக பாதுகாப்பை செயல்படுத்தும் InTrust விதியையும் இப்போது பார்க்கலாம். முதலில், InTrust மேலாண்மை கன்சோல் மூலம் அதைச் செயல்படுத்துவோம்.
விதி Windows OS இன் செயல்முறை கண்காணிப்பு திறன்களைப் பயன்படுத்துகிறது. துரதிர்ஷ்டவசமாக, இதுபோன்ற நிகழ்வுகளின் சேகரிப்பை இயக்குவது வெளிப்படையானது அல்ல. நீங்கள் மாற்ற வேண்டிய 3 வெவ்வேறு குழு கொள்கை அமைப்புகள் உள்ளன:
கணினி உள்ளமைவு > கொள்கைகள் > விண்டோஸ் அமைப்புகள் > பாதுகாப்பு அமைப்புகள் > உள்ளூர் கொள்கைகள் > தணிக்கைக் கொள்கை > தணிக்கை செயல்முறை கண்காணிப்பு
கணினி கட்டமைப்பு > கொள்கைகள் > விண்டோஸ் அமைப்புகள் > பாதுகாப்பு அமைப்புகள் > மேம்பட்ட தணிக்கைக் கொள்கை கட்டமைப்பு > தணிக்கை கொள்கைகள் > விரிவான கண்காணிப்பு > தணிக்கை செயல்முறை உருவாக்கம்
கணினி கட்டமைப்பு > கொள்கைகள் > நிர்வாக டெம்ப்ளேட்கள் > கணினி > தணிக்கை செயல்முறை உருவாக்கம் > செயல்முறை உருவாக்கும் நிகழ்வுகளில் கட்டளை வரியைச் சேர்க்கவும்
இயக்கப்பட்டதும், சந்தேகத்திற்குரிய நடத்தையை வெளிப்படுத்தும் முன்னர் அறியப்படாத அச்சுறுத்தல்களைக் கண்டறிய InTrust விதிகள் உங்களை அனுமதிக்கின்றன. உதாரணமாக, நீங்கள் அடையாளம் காணலாம்
அதன் செயல்களின் சங்கிலியில், திட்டமிடப்பட்ட பணியை உருவாக்க Dridex schtasks.exe ஐப் பயன்படுத்துகிறது. கட்டளை வரியிலிருந்து இந்த குறிப்பிட்ட பயன்பாட்டைப் பயன்படுத்துவது மிகவும் சந்தேகத்திற்குரிய நடத்தையாகக் கருதப்படுகிறது; பயனர் கோப்புறைகளை சுட்டிக்காட்டும் அளவுருக்கள் அல்லது "நிகரக் காட்சி" அல்லது "whoami" கட்டளைகளைப் போன்ற அளவுருக்கள் மூலம் svchost.exe ஐத் தொடங்குவது ஒரே மாதிரியாகத் தெரிகிறது. தொடர்புடைய ஒரு பகுதி இங்கே
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
InTrust இல், அனைத்து சந்தேகத்திற்கிடமான நடத்தைகளும் ஒரு விதியில் சேர்க்கப்பட்டுள்ளன, ஏனெனில் இந்த செயல்களில் பெரும்பாலானவை ஒரு குறிப்பிட்ட அச்சுறுத்தலுடன் தொடர்புடையவை அல்ல, மாறாக ஒரு சிக்கலான நிலையில் சந்தேகத்திற்குரியவை மற்றும் 99% வழக்குகளில் முற்றிலும் உன்னதமான நோக்கங்களுக்காக பயன்படுத்தப்படுகின்றன. இந்த செயல்களின் பட்டியலில் அடங்கும், ஆனால் இவை மட்டும் அல்ல:
- பயனர் தற்காலிக கோப்புறைகள் போன்ற அசாதாரண இடங்களிலிருந்து இயங்கும் செயல்முறைகள்.
- சந்தேகத்திற்கிடமான பரம்பரையுடன் நன்கு அறியப்பட்ட கணினி செயல்முறை - சில அச்சுறுத்தல்கள் கண்டறியப்படாமல் இருக்க கணினி செயல்முறைகளின் பெயரைப் பயன்படுத்த முயற்சி செய்யலாம்.
- cmd அல்லது PsExec போன்ற நிர்வாகக் கருவிகள் உள்ளூர் அமைப்பு நற்சான்றிதழ்கள் அல்லது சந்தேகத்திற்கிடமான பரம்பரையைப் பயன்படுத்தும் போது சந்தேகத்திற்கிடமான செயலாக்கங்கள்.
- சந்தேகத்திற்கிடமான நிழல் நகல் செயல்பாடுகள் ஒரு கணினியை குறியாக்கம் செய்வதற்கு முன் ransomware வைரஸ்களின் பொதுவான நடத்தை ஆகும்; அவை காப்புப்பிரதிகளைக் கொல்லும்:
- vssadmin.exe வழியாக;
- WMI வழியாக. - முழு ரெஜிஸ்ட்ரி ஹைவ்ஸ் டம்ப்களை பதிவு செய்யவும்.
- at.exe போன்ற கட்டளைகளைப் பயன்படுத்தி ஒரு செயல்முறை தொலைவிலிருந்து தொடங்கப்படும் போது தீங்கிழைக்கும் குறியீட்டின் கிடைமட்ட இயக்கம்.
- net.exe ஐப் பயன்படுத்தி சந்தேகத்திற்கிடமான உள்ளூர் குழு செயல்பாடுகள் மற்றும் டொமைன் செயல்பாடுகள்.
- netsh.exe ஐப் பயன்படுத்தி சந்தேகத்திற்கிடமான ஃபயர்வால் செயல்பாடு.
- ACL இன் சந்தேகத்திற்கிடமான கையாளுதல்.
- தரவு வெளியேற்றத்திற்கு BITS ஐப் பயன்படுத்துதல்.
- WMI உடன் சந்தேகத்திற்கிடமான கையாளுதல்கள்.
- சந்தேகத்திற்கிடமான ஸ்கிரிப்ட் கட்டளைகள்.
- பாதுகாப்பான கணினி கோப்புகளை டம்ப் செய்ய முயற்சிக்கிறது.
RUYK, LockerGoga மற்றும் பிற ransomware, மால்வேர் மற்றும் சைபர் கிரைம் டூல்கிட்கள் போன்ற அச்சுறுத்தல்களைக் கண்டறிய ஒருங்கிணைந்த விதி சிறப்பாகச் செயல்படுகிறது. தவறான நேர்மறைகளைக் குறைக்க, உற்பத்திச் சூழல்களில் விற்பனையாளரால் இந்த விதி சோதிக்கப்பட்டது. சிக்மா திட்டத்திற்கு நன்றி, இந்த குறிகாட்டிகளில் பெரும்பாலானவை குறைந்த எண்ணிக்கையிலான இரைச்சல் நிகழ்வுகளை உருவாக்குகின்றன.
ஏனெனில் InTrust இல் இது ஒரு கண்காணிப்பு விதியாகும், அச்சுறுத்தலுக்கு எதிர்வினையாக நீங்கள் பதில் ஸ்கிரிப்டை இயக்கலாம். நீங்கள் உள்ளமைக்கப்பட்ட ஸ்கிரிப்ட்களில் ஒன்றைப் பயன்படுத்தலாம் அல்லது உங்களுடையதை உருவாக்கலாம் மற்றும் InTrust தானாகவே அதை விநியோகிக்கும்.
கூடுதலாக, நீங்கள் அனைத்து நிகழ்வு தொடர்பான டெலிமெட்ரியையும் ஆய்வு செய்யலாம்: பவர்ஷெல் ஸ்கிரிப்டுகள், செயல்முறை செயலாக்கம், திட்டமிடப்பட்ட பணி கையாளுதல்கள், WMI நிர்வாக செயல்பாடு மற்றும் பாதுகாப்பு சம்பவங்களின் போது பிரேத பரிசோதனைகளுக்கு அவற்றைப் பயன்படுத்தலாம்.
InTrust நூற்றுக்கணக்கான பிற விதிகளைக் கொண்டுள்ளது, அவற்றில் சில:
- பவர்ஷெல் தரமிறக்கத் தாக்குதலைக் கண்டறிவது யாரோ ஒருவர் வேண்டுமென்றே பவர்ஷெல்லின் பழைய பதிப்பைப் பயன்படுத்தினால்... பழைய பதிப்பில் என்ன நடக்கிறது என்பதை தணிக்கை செய்ய வழி இல்லை.
- ஒரு குறிப்பிட்ட சலுகை பெற்ற குழுவில் (டொமைன் நிர்வாகிகள் போன்றவை) உறுப்பினர்களாக இருக்கும் கணக்குகள் தற்செயலாக அல்லது பாதுகாப்பு சம்பவங்கள் காரணமாக பணிநிலையங்களில் உள்நுழையும்போது உயர் சலுகை உள்நுழைவு கண்டறிதல் ஆகும்.
முன் வரையறுக்கப்பட்ட கண்டறிதல் மற்றும் பதில் விதிகள் வடிவில் சிறந்த பாதுகாப்பு நடைமுறைகளைப் பயன்படுத்த InTrust உங்களை அனுமதிக்கிறது. மேலும் ஏதாவது வித்தியாசமாக வேலை செய்ய வேண்டும் என்று நீங்கள் நினைத்தால், உங்கள் சொந்த விதியின் நகலை உருவாக்கி தேவைக்கேற்ப அதை உள்ளமைக்கலாம். ஒரு பைலட்டை நடத்துவதற்கு அல்லது தற்காலிக உரிமங்களுடன் விநியோக கருவிகளைப் பெறுவதற்கான விண்ணப்பத்தை நீங்கள் சமர்ப்பிக்கலாம்
எங்கள் குழுசேரவும்
தகவல் பாதுகாப்பு குறித்த எங்கள் மற்ற கட்டுரைகளைப் படிக்கவும்:
ஆதாரம்: www.habr.com