పూర్తిగా గౌరవప్రదమైన ప్రక్రియల క్రింద చెట్టులో హానికరమైన ప్రక్రియను పుట్టించడం అనేది అత్యంత సాధారణ రకాలైన దాడులలో ఒకటి. ఎక్జిక్యూటబుల్ ఫైల్కు మార్గం అనుమానాస్పదంగా ఉండవచ్చు: మాల్వేర్ తరచుగా AppData లేదా టెంప్ ఫోల్డర్లను ఉపయోగిస్తుంది మరియు ఇది చట్టబద్ధమైన ప్రోగ్రామ్లకు విలక్షణమైనది కాదు. సరిగ్గా చెప్పాలంటే, AppDataలో కొన్ని ఆటోమేటిక్ అప్డేట్ యుటిలిటీలు అమలు చేయబడతాయని చెప్పడం విలువ, కాబట్టి ప్రోగ్రామ్ హానికరమైనదని నిర్ధారించడానికి లాంచ్ లొకేషన్ను తనిఖీ చేయడం సరిపోదు.
చట్టబద్ధత యొక్క అదనపు అంశం క్రిప్టోగ్రాఫిక్ సంతకం: అనేక అసలైన ప్రోగ్రామ్లు విక్రేతచే సంతకం చేయబడ్డాయి. అనుమానాస్పద స్టార్టప్ ఐటెమ్లను గుర్తించే పద్ధతిగా సంతకం లేదనే వాస్తవాన్ని మీరు ఉపయోగించవచ్చు. అయితే మళ్లీ దొంగిలించబడిన సర్టిఫికెట్ని ఉపయోగించి సంతకం చేసే మాల్వేర్ ఉంది.
మీరు MD5 లేదా SHA256 క్రిప్టోగ్రాఫిక్ హాష్ల విలువను కూడా తనిఖీ చేయవచ్చు, ఇది గతంలో గుర్తించిన కొన్ని మాల్వేర్లకు అనుగుణంగా ఉండవచ్చు. మీరు ప్రోగ్రామ్లోని సంతకాలను చూడటం ద్వారా స్టాటిక్ విశ్లేషణ చేయవచ్చు (యారా నియమాలు లేదా యాంటీవైరస్ ఉత్పత్తులను ఉపయోగించి). డైనమిక్ విశ్లేషణ (కొన్ని సురక్షిత వాతావరణంలో ప్రోగ్రామ్ను అమలు చేయడం మరియు దాని చర్యలను పర్యవేక్షించడం) మరియు రివర్స్ ఇంజనీరింగ్ కూడా ఉన్నాయి.
హానికరమైన ప్రక్రియ యొక్క అనేక సంకేతాలు ఉండవచ్చు. ఈ ఆర్టికల్లో Windowsలో సంబంధిత ఈవెంట్ల ఆడిటింగ్ను ఎలా ప్రారంభించాలో మేము మీకు తెలియజేస్తాము, అంతర్నిర్మిత నియమం ఆధారపడే సంకేతాలను మేము విశ్లేషిస్తాము.
ప్రోగ్రామ్ ప్రారంభించబడినప్పుడు, అది కంప్యూటర్ మెమరీలోకి లోడ్ అవుతుంది. ఎక్జిక్యూటబుల్ ఫైల్లో కంప్యూటర్ సూచనలు మరియు సపోర్టింగ్ లైబ్రరీలు ఉన్నాయి (ఉదాహరణకు, *.dll). ప్రక్రియ ఇప్పటికే అమలవుతున్నప్పుడు, అది అదనపు థ్రెడ్లను సృష్టించగలదు. థ్రెడ్లు ఒక ప్రక్రియను వివిధ సెట్ల సూచనలను ఏకకాలంలో అమలు చేయడానికి అనుమతిస్తాయి. హానికరమైన కోడ్ మెమరీలోకి చొచ్చుకుపోయి అమలు చేయడానికి అనేక మార్గాలు ఉన్నాయి, వాటిలో కొన్నింటిని చూద్దాం.
హానికరమైన ప్రక్రియను ప్రారంభించడానికి సులభమైన మార్గం వినియోగదారుని నేరుగా లాంచ్ చేయమని బలవంతం చేయడం (ఉదాహరణకు, ఇమెయిల్ అటాచ్మెంట్ నుండి), ఆపై కంప్యూటర్ ఆన్ చేయబడిన ప్రతిసారీ దాన్ని ప్రారంభించడానికి RunOnce కీని ఉపయోగించండి. ట్రిగ్గర్ ఆధారంగా అమలు చేయబడిన రిజిస్ట్రీ కీలలో PowerShell స్క్రిప్ట్లను నిల్వ చేసే “ఫైల్లెస్” మాల్వేర్ కూడా ఇందులో ఉంది. ఈ సందర్భంలో, PowerShell స్క్రిప్ట్ హానికరమైన కోడ్.
మాల్వేర్ని స్పష్టంగా అమలు చేయడంలో సమస్య ఏమిటంటే ఇది సులభంగా గుర్తించబడే ఒక తెలిసిన విధానం. మెమరీలో అమలు చేయడం ప్రారంభించడానికి మరొక ప్రక్రియను ఉపయోగించడం వంటి కొన్ని మాల్వేర్ మరింత తెలివైన పనులను చేస్తుంది. కాబట్టి, ఒక ప్రక్రియ నిర్దిష్ట కంప్యూటర్ సూచనలను అమలు చేయడం ద్వారా మరియు అమలు చేయడానికి ఎక్జిక్యూటబుల్ ఫైల్ (.exe)ని పేర్కొనడం ద్వారా మరొక ప్రక్రియను సృష్టించగలదు.
ఫైల్ను పూర్తి పాత్ (ఉదాహరణకు, C:Windowssystem32cmd.exe) లేదా పాక్షిక మార్గం (ఉదాహరణకు, cmd.exe) ఉపయోగించి పేర్కొనవచ్చు. అసలు ప్రక్రియ అసురక్షితంగా ఉంటే, అది చట్టవిరుద్ధమైన ప్రోగ్రామ్లను అమలు చేయడానికి అనుమతిస్తుంది. దాడి ఇలా ఉంటుంది: ఒక ప్రక్రియ పూర్తి మార్గాన్ని పేర్కొనకుండా cmd.exeని ప్రారంభిస్తుంది, దాడి చేసే వ్యక్తి తన cmd.exeని ఒక స్థలంలో ఉంచుతాడు, తద్వారా ప్రక్రియ చట్టబద్ధమైన దాని కంటే ముందు ప్రారంభించబడుతుంది. మాల్వేర్ అమలు చేయబడిన తర్వాత, అది ఒక చట్టబద్ధమైన ప్రోగ్రామ్ను (C:Windowssystem32cmd.exe వంటివి) ప్రారంభించగలదు, తద్వారా అసలు ప్రోగ్రామ్ సరిగ్గా పని చేస్తూనే ఉంటుంది.
మునుపటి దాడి యొక్క వైవిధ్యం చట్టబద్ధమైన ప్రక్రియలో DLL ఇంజెక్షన్. ప్రక్రియ ప్రారంభమైనప్పుడు, అది దాని కార్యాచరణను విస్తరించే లైబ్రరీలను కనుగొని లోడ్ చేస్తుంది. DLL ఇంజెక్షన్ని ఉపయోగించి, దాడి చేసే వ్యక్తి అదే పేరుతో మరియు చట్టబద్ధమైన APIతో హానికరమైన లైబ్రరీని సృష్టిస్తాడు. ప్రోగ్రామ్ హానికరమైన లైబ్రరీని లోడ్ చేస్తుంది మరియు ఇది చట్టబద్ధమైన దానిని లోడ్ చేస్తుంది మరియు అవసరమైన విధంగా, కార్యకలాపాలను నిర్వహించడానికి కాల్ చేస్తుంది. హానికరమైన లైబ్రరీ మంచి లైబ్రరీకి ప్రాక్సీగా పని చేయడం ప్రారంభిస్తుంది.
హానికరమైన కోడ్ను మెమరీలో ఉంచడానికి మరొక మార్గం ఏమిటంటే, దానిని ఇప్పటికే అమలవుతున్న అసురక్షిత ప్రక్రియలో చొప్పించడం. ప్రక్రియలు వివిధ మూలాల నుండి ఇన్పుట్ను స్వీకరిస్తాయి - నెట్వర్క్ లేదా ఫైల్ల నుండి చదవడం. ఇన్పుట్ చట్టబద్ధమైనదని నిర్ధారించుకోవడానికి వారు సాధారణంగా తనిఖీ చేస్తారు. కానీ సూచనలను అమలు చేస్తున్నప్పుడు కొన్ని ప్రక్రియలకు సరైన రక్షణ ఉండదు. ఈ దాడిలో, హానికరమైన కోడ్ను కలిగి ఉన్న డిస్క్ లేదా ఎక్జిక్యూటబుల్ ఫైల్లో లైబ్రరీ లేదు. దోపిడీ ప్రక్రియతో పాటు ప్రతిదీ మెమరీలో నిల్వ చేయబడుతుంది.
ఇప్పుడు విండోస్లో ఇటువంటి ఈవెంట్ల సేకరణను ప్రారంభించే పద్దతి మరియు అటువంటి బెదిరింపుల నుండి రక్షణను అమలు చేసే InTrustలోని నియమాన్ని చూద్దాం. ముందుగా, InTrust మేనేజ్మెంట్ కన్సోల్ ద్వారా దీన్ని యాక్టివేట్ చేద్దాం.
నియమం Windows OS యొక్క ప్రాసెస్ ట్రాకింగ్ సామర్థ్యాలను ఉపయోగిస్తుంది. దురదృష్టవశాత్తు, అటువంటి ఈవెంట్ల సేకరణను ప్రారంభించడం చాలా స్పష్టంగా లేదు. మీరు మార్చాల్సిన 3 విభిన్న గ్రూప్ పాలసీ సెట్టింగ్లు ఉన్నాయి:
కంప్యూటర్ కాన్ఫిగరేషన్ > విధానాలు > విండోస్ సెట్టింగ్లు > సెక్యూరిటీ సెట్టింగ్లు > స్థానిక విధానాలు > ఆడిట్ విధానం > ఆడిట్ ప్రాసెస్ ట్రాకింగ్
కంప్యూటర్ కాన్ఫిగరేషన్ > విధానాలు > విండోస్ సెట్టింగ్లు > సెక్యూరిటీ సెట్టింగ్లు > అధునాతన ఆడిట్ పాలసీ కాన్ఫిగరేషన్ > ఆడిట్ విధానాలు > వివరణాత్మక ట్రాకింగ్ > ఆడిట్ ప్రక్రియ సృష్టి
కంప్యూటర్ కాన్ఫిగరేషన్ > విధానాలు > అడ్మినిస్ట్రేటివ్ టెంప్లేట్లు > సిస్టమ్ > ఆడిట్ ప్రాసెస్ క్రియేషన్ > ప్రాసెస్ క్రియేషన్ ఈవెంట్లలో కమాండ్ లైన్ని చేర్చండి
ప్రారంభించిన తర్వాత, అనుమానాస్పద ప్రవర్తనను ప్రదర్శించే మునుపు తెలియని బెదిరింపులను గుర్తించడానికి InTrust నియమాలు మిమ్మల్ని అనుమతిస్తాయి. ఉదాహరణకు, మీరు గుర్తించవచ్చు
దాని చర్యల గొలుసులో, Dridex షెడ్యూల్ చేయబడిన పనిని సృష్టించడానికి schtasks.exeని ఉపయోగిస్తుంది. కమాండ్ లైన్ నుండి ఈ ప్రత్యేక ప్రయోజనాన్ని ఉపయోగించడం చాలా అనుమానాస్పద ప్రవర్తనగా పరిగణించబడుతుంది; వినియోగదారు ఫోల్డర్లను సూచించే పారామితులతో లేదా "నెట్ వ్యూ" లేదా "whoami" ఆదేశాలకు సమానమైన పారామితులతో svchost.exeని ప్రారంభించడం సారూప్యంగా కనిపిస్తుంది. సంబంధిత భాగం ఇక్కడ ఉంది
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
InTrustలో, అన్ని అనుమానాస్పద ప్రవర్తనలు ఒక నియమంలో చేర్చబడ్డాయి, ఎందుకంటే ఈ చర్యలు చాలావరకు నిర్దిష్ట ముప్పుకు సంబంధించినవి కావు, కానీ సంక్లిష్టంగా అనుమానాస్పదంగా ఉంటాయి మరియు 99% కేసుల్లో పూర్తిగా గొప్ప ప్రయోజనాల కోసం ఉపయోగించబడవు. ఈ చర్యల జాబితా వీటిని కలిగి ఉంటుంది, కానీ వీటికే పరిమితం కాదు:
- వినియోగదారు తాత్కాలిక ఫోల్డర్ల వంటి అసాధారణ స్థానాల నుండి అమలవుతున్న ప్రక్రియలు.
- అనుమానాస్పద వారసత్వంతో ప్రసిద్ధి చెందిన సిస్టమ్ ప్రాసెస్ - కొన్ని బెదిరింపులు గుర్తించబడకుండా ఉండటానికి సిస్టమ్ ప్రాసెస్ల పేరును ఉపయోగించడానికి ప్రయత్నించవచ్చు.
- స్థానిక సిస్టమ్ ఆధారాలు లేదా అనుమానాస్పద వారసత్వాన్ని ఉపయోగించినప్పుడు cmd లేదా PsExec వంటి అడ్మినిస్ట్రేటివ్ టూల్స్ యొక్క అనుమానాస్పద అమలులు.
- అనుమానాస్పద షాడో కాపీ కార్యకలాపాలు సిస్టమ్ను గుప్తీకరించడానికి ముందు ransomware వైరస్ల యొక్క సాధారణ ప్రవర్తన; అవి బ్యాకప్లను చంపుతాయి:
- vssadmin.exe ద్వారా;
- WMI ద్వారా. - మొత్తం రిజిస్ట్రీ దద్దుర్లు యొక్క డంప్లను నమోదు చేయండి.
- at.exe వంటి ఆదేశాలను ఉపయోగించి రిమోట్గా ప్రాసెస్ ప్రారంభించబడినప్పుడు హానికరమైన కోడ్ యొక్క క్షితిజ సమాంతర కదలిక.
- net.exeని ఉపయోగించి అనుమానాస్పద స్థానిక సమూహ కార్యకలాపాలు మరియు డొమైన్ కార్యకలాపాలు.
- netsh.exeని ఉపయోగించి అనుమానాస్పద ఫైర్వాల్ కార్యాచరణ.
- ACL యొక్క అనుమానాస్పద తారుమారు.
- డేటా ఎక్స్ఫిల్ట్రేషన్ కోసం BITSని ఉపయోగించడం.
- WMIతో అనుమానాస్పద అవకతవకలు.
- అనుమానాస్పద స్క్రిప్ట్ ఆదేశాలు.
- సురక్షిత సిస్టమ్ ఫైల్లను డంప్ చేయడానికి ప్రయత్నాలు.
RUYK, LockerGoga మరియు ఇతర ransomware, మాల్వేర్ మరియు సైబర్క్రైమ్ టూల్కిట్ల వంటి బెదిరింపులను గుర్తించడానికి సంయుక్త నియమం చాలా బాగా పనిచేస్తుంది. తప్పుడు పాజిటివ్లను తగ్గించడానికి ఉత్పత్తి పరిసరాలలో విక్రేతచే నియమం పరీక్షించబడింది. మరియు SIGMA ప్రాజెక్ట్కు ధన్యవాదాలు, ఈ సూచికలలో చాలా వరకు తక్కువ సంఖ్యలో నాయిస్ ఈవెంట్లను ఉత్పత్తి చేస్తాయి.
ఎందుకంటే InTrustలో ఇది పర్యవేక్షణ నియమం, మీరు ముప్పుకు ప్రతిస్పందనగా ప్రతిస్పందన స్క్రిప్ట్ని అమలు చేయవచ్చు. మీరు అంతర్నిర్మిత స్క్రిప్ట్లలో ఒకదాన్ని ఉపయోగించవచ్చు లేదా మీ స్వంతంగా సృష్టించుకోవచ్చు మరియు InTrust దాన్ని స్వయంచాలకంగా పంపిణీ చేస్తుంది.
అదనంగా, మీరు అన్ని ఈవెంట్-సంబంధిత టెలిమెట్రీలను తనిఖీ చేయవచ్చు: పవర్షెల్ స్క్రిప్ట్లు, ప్రాసెస్ ఎగ్జిక్యూషన్, షెడ్యూల్ చేసిన టాస్క్ మానిప్యులేషన్లు, WMI అడ్మినిస్ట్రేటివ్ యాక్టివిటీ మరియు భద్రతా సంఘటనల సమయంలో పోస్ట్మార్టంల కోసం వాటిని ఉపయోగించవచ్చు.
InTrust వందలాది ఇతర నియమాలను కలిగి ఉంది, వాటిలో కొన్ని:
- పవర్షెల్ డౌన్గ్రేడ్ దాడిని గుర్తించడం అంటే ఎవరైనా ఉద్దేశపూర్వకంగా పవర్షెల్ యొక్క పాత వెర్షన్ను ఉపయోగించినప్పుడు... పాత సంస్కరణలో ఏమి జరుగుతుందో ఆడిట్ చేయడానికి మార్గం లేదు.
- హై-ప్రివిలేజ్ లాగాన్ డిటెక్షన్ అనేది నిర్దిష్ట ప్రివిలేజ్డ్ గ్రూప్లో సభ్యులుగా ఉన్న ఖాతాలు (డొమైన్ అడ్మినిస్ట్రేటర్లు వంటివి) ప్రమాదవశాత్తు లేదా భద్రతా సంఘటనల కారణంగా వర్క్స్టేషన్లకు లాగిన్ అయినప్పుడు.
ముందుగా నిర్వచించిన గుర్తింపు మరియు ప్రతిస్పందన నియమాల రూపంలో ఉత్తమ భద్రతా పద్ధతులను ఉపయోగించడానికి InTrust మిమ్మల్ని అనుమతిస్తుంది. మరియు ఏదైనా భిన్నంగా పని చేయాలని మీరు అనుకుంటే, మీరు మీ స్వంత నియమాన్ని రూపొందించవచ్చు మరియు అవసరమైన విధంగా కాన్ఫిగర్ చేయవచ్చు. మీరు తాత్కాలిక లైసెన్స్లతో పైలట్ను నిర్వహించడం లేదా పంపిణీ కిట్లను పొందడం కోసం దరఖాస్తును సమర్పించవచ్చు
మా సబ్స్క్రయిబ్
సమాచార భద్రతపై మా ఇతర కథనాలను చదవండి:
మూలం: www.habr.com