Яке аз намудҳои маъмултарини ҳамлаҳо тавлиди як раванди зараровар дар дарахт дар зери равандҳои комилан эҳтиром аст. Роҳ ба файли иҷрошаванда метавонад шубҳанок бошад: нармафзори зараровар аксар вақт ҷузвдонҳои AppData ё Tempро истифода мебарад ва ин барои барномаҳои қонунӣ хос нест. Барои одилона гуфтан лозим аст, ки баъзе утилитаҳои навсозии худкор дар AppData иҷро мешаванд, аз ин рӯ танҳо тафтиш кардани макони оғозёбӣ барои тасдиқи зараровар будани барнома кифоя нест.
Омили иловагии қонуният ин имзои криптографӣ мебошад: бисёре аз барномаҳои аслӣ аз ҷониби фурӯшанда имзо карда мешаванд. Шумо метавонед далели мавҷуд набудани имзоро ҳамчун усули муайян кардани ҷузъҳои шубҳанок истифода баред. Аммо боз як нармафзори зараровар вуҷуд дорад, ки шаҳодатномаи дуздидашударо барои имзои худ истифода мебарад.
Шумо инчунин метавонед арзиши хэшҳои криптографии MD5 ё SHA256-ро тафтиш кунед, ки метавонад ба баъзе нармафзори зараровар, ки қаблан ошкоршуда мувофиқат мекунад, мувофиқат кунад. Шумо метавонед тавассути дидани имзоҳо дар барнома таҳлили статикӣ анҷом диҳед (бо истифода аз қоидаҳои Yara ё маҳсулоти антивирусӣ). Инчунин таҳлили динамикӣ (иҷрои барнома дар баъзе муҳити бехатар ва мониторинги амалҳои он) ва муҳандисии баръакс вуҷуд дорад.
Метавонад аломатҳои зиёди раванди зараровар бошад. Дар ин мақола мо ба шумо мегӯям, ки чӣ гуна аудити рӯйдодҳои дахлдорро дар Windows фаъол кардан мумкин аст, мо нишонаҳоеро таҳлил хоҳем кард, ки қоидаи дарунсохт ба он такя мекунад. барои муайян кардани раванди шубҳанок. InTrust аст барои ҷамъоварӣ, таҳлил ва нигоҳдории маълумоти сохторнашуда, ки аллакай садҳо аксуламалҳои пешакӣ муайяншуда ба намудҳои гуногуни ҳамлаҳо доранд.
Вақте ки барнома ба кор андохта мешавад, он ба хотираи компютер бор карда мешавад. Файли иҷрошаванда дорои дастурҳои компютерӣ ва китобхонаҳои дастгирӣ мебошад (масалан, *.dll). Вақте ки раванд аллакай иҷро мешавад, он метавонад риштаҳои иловагӣ эҷод кунад. Риштаҳо ба раванд имкон медиҳанд, ки маҷмӯи дастурҳои гуногунро дар як вақт иҷро кунанд. Роҳҳои зиёди коди зараровар барои ворид шудан ба хотира ва кор кардан мавҷуданд, биёед ба баъзеи онҳо назар кунем.
Роҳи осонтарини оғоз кардани раванди зараровар ин маҷбур кардани корбар аст, ки онро мустақиман оғоз кунад (масалан, аз замимаи почтаи электронӣ), пас аз калиди RunOnce барои оғоз кардани он ҳар дафъае, ки компютер фурӯзон аст, истифода баред. Ин инчунин нармафзори зараровари "бефайл"-ро дар бар мегирад, ки скриптҳои PowerShell-ро дар калидҳои реестр нигоҳ медорад, ки дар асоси триггер иҷро карда мешаванд. Дар ин ҳолат, скрипти PowerShell рамзи зараровар аст.
Мушкилоти ба таври возеҳ иҷрошавандаи нармафзори зараровар дар он аст, ки он равиши маълум аст, ки ба осонӣ ошкор карда мешавад. Баъзе нармафзори зараровар корҳои оқилонатарро иҷро мекунанд, ба монанди истифодаи раванди дигар барои оғоз кардани иҷро дар хотира. Аз ин рӯ, раванд метавонад тавассути иҷро кардани дастури мушаххаси компютерӣ ва муайян кардани файли иҷрошаванда (.exe) барои иҷро раванди дигар эҷод кунад.
Файлро бо истифода аз роҳи пурра (масалан, C:Windowssystem32cmd.exe) ё қисман (масалан, cmd.exe) муайян кардан мумкин аст. Агар раванди аслӣ ноамн бошад, он имкон медиҳад, ки барномаҳои ғайриқонунӣ кор кунанд. Ҳамла метавонад чунин бошад: раванд cmd.exe-ро бидуни муайян кардани роҳи пурра оғоз мекунад, ҳамлакунанда cmd.exe-и худро дар ҷое ҷойгир мекунад, ки раванд онро пеш аз он ки қонунӣ оғоз кунад. Вақте ки нармафзори зараровар кор мекунад, он метавонад дар навбати худ як барномаи қонуниро (ба монанди C: Windowssystem32cmd.exe) оғоз кунад, то барномаи аслӣ ба таври дуруст кор кунад.
Варианти ҳамлаи қаблӣ тазриқи DLL ба раванди қонунӣ мебошад. Вақте ки раванд оғоз меёбад, он китобхонаҳоеро пайдо мекунад ва бор мекунад, ки функсияҳои онро васеъ мекунанд. Бо истифода аз тазриқи DLL, ҳамлакунанда китобхонаи зарароварро бо ҳамон ном ва API ҳамчун китобхонаи қонунӣ эҷод мекунад. Барнома китобхонаи зарароварро бор мекунад ва он дар навбати худ китобхонаи қонуниро бор мекунад ва дар ҳолати зарурӣ онро барои иҷрои амалиёт даъват мекунад. Китобхонаи шубҳанок ҳамчун прокси китобхонаи хуб амал мекунад.
Роҳи дигари гузоштани рамзи зараровар ба хотира ин ворид кардани он ба раванди хатарноке мебошад, ки аллакай иҷро мешавад. Равандҳо аз манбаъҳои гуногун воридот мегиранд - хондан аз шабака ё файлҳо. Онҳо одатан тафтиш мекунанд, то боварӣ ҳосил кунанд, ки вуруд қонунӣ аст. Аммо баъзе равандҳо ҳангоми иҷрои дастурҳо муҳофизати дуруст надоранд. Дар ин ҳамла, дар диск китобхона ё файли иҷрошавандае мавҷуд нест, ки дорои рамзи зараровар аст. Ҳама чиз дар хотира бо раванде, ки истифода мешавад, нигоҳ дошта мешавад.
Акнун биёед ба методологияи имкон додани ҷамъоварии чунин рӯйдодҳо дар Windows ва қоидаи InTrust, ки муҳофизатро аз чунин таҳдидҳо амалӣ мекунад, дида мебароем. Аввалан, биёед онро тавассути консоли идоракунии InTrust фаъол созем.
Қоида имкониятҳои пайгирии равандҳои OS Windows-ро истифода мебарад. Мутаассифона, имкон додан ба чамъоварии ин гуна ходисахо аз руякй дур аст. 3 танзимоти гуногуни сиёсати гурӯҳӣ мавҷуданд, ки шумо бояд тағир диҳед:
Конфигуратсияи компютер > Сиёсат > Танзимоти Windows > Танзимоти амният > Сиёсати маҳаллӣ > Сиёсати аудит > Пайгирии раванди аудит
Конфигуратсияи компютер > Сиёсат > Танзимоти Windows > Танзимоти амният > Танзимоти мукаммали сиёсати аудит > Сиёсати аудит > Пайгирии муфассал > Эҷоди раванди аудит
Конфигуратсияи компютер > Сиёсатҳо > Шаблонҳои маъмурӣ > Система > Эҷоди раванди аудит > Дохил кардани сатри фармон ба рӯйдодҳои эҷоди раванд
Пас аз фаъол шудан, қоидаҳои InTrust ба шумо имкон медиҳанд, ки таҳдидҳои қаблан номаълумеро, ки рафтори шубҳанок нишон медиҳанд, ошкор кунед. Масалан, шумо метавонед муайян кунед Барномаи зараровар Dridex. Бо шарофати лоиҳаи HP Bromium, мо медонем, ки ин таҳдид чӣ гуна кор мекунад.
Дар силсилаи амалҳои худ, Dridex schtasks.exe-ро барои сохтани вазифаи ба нақша гирифташуда истифода мебарад. Истифодаи ин утилитаи мушаххас аз сатри фармон рафтори хеле шубҳанок ҳисобида мешавад; оғоз кардани svchost.exe бо параметрҳое, ки ба ҷузвдонҳои корбар ишора мекунанд ё бо параметрҳои шабеҳ ба фармонҳои "намуди net" ё "whoami" монанд ба назар мерасад. Дар ин ҷо як порчаи мувофиқ аст :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themДар InTrust, тамоми рафтори шубҳанок ба як қоида дохил карда шудааст, зеро аксари ин амалҳо ба як таҳдиди мушаххас хос нестанд, балки дар маҷмӯъ шубҳаноканд ва дар 99% ҳолатҳо на ба мақсадҳои наҷиб истифода мешаванд. Ин рӯйхати амалҳоро дар бар мегирад, аммо бо ин маҳдуд намешавад:
- Равандҳое, ки аз маконҳои ғайриоддӣ, ба монанди ҷузвдонҳои муваққатии корбар иҷро мешаванд.
- Раванди маъруфи система бо мероси шубҳанок - баъзе таҳдидҳо метавонанд кӯшиш кунанд, ки номи равандҳои системаро истифода баранд, то ошкор нашаванд.
- Иҷрои шубҳаноки абзорҳои маъмурӣ, аз қабили cmd ё PsExec, вақте ки онҳо маълумоти эътимоднокии системаи маҳаллӣ ё мероси шубҳанокро истифода мебаранд.
- Амалиёти шубҳаноки нусхабардории соявӣ як рафтори маъмулии вирусҳои ransomware пеш аз рамзгузории система мебошанд; онҳо нусхаҳои эҳтиётиро мекушанд:
— Тавассути vssadmin.exe;
- Тавассути WMI. - Бақайдгирии партовҳои тамоми қуттиҳои сабти ном.
- Ҳаракати уфуқии рамзи зараровар, вақте ки раванд аз фосилаи дур бо истифода аз фармонҳо ба монанди at.exe оғоз мешавад.
- Амалиёти шубҳаноки гурӯҳи маҳаллӣ ва амалиёти домен бо истифода аз net.exe.
- Фаъолияти шубҳаноки девори девор бо истифода аз netsh.exe.
- Манипуляцияи шубҳаноки ACL.
- Истифодаи BITS барои эксфилтратсияи маълумот.
- Манипуляцияҳои шубҳанок бо WMI.
- Фармонҳои скрипти шубҳанок.
- Кӯшишҳо барои партофтани файлҳои системавии бехатар.
Қоидаи якҷоя барои ошкор кардани таҳдидҳо ба монанди RUYK, LockerGoga ва дигар нармафзори фидиявӣ, нармафзори зараровар ва абзорҳои киберҷинояткорӣ хеле хуб кор мекунад. Қоида аз ҷониби фурӯшанда дар муҳити истеҳсолӣ барои кам кардани мусбатҳои бардурӯғ озмуда шудааст. Ва ба шарофати лоиҳаи SIGMA, аксарияти ин нишондиҳандаҳо шумораи ҳадди ақали ҳодисаҳои садоро ба вуҷуд меоранд.
Зеро Дар InTrust ин як қоидаи мониторинг аст, шумо метавонед скрипти посухро ҳамчун вокуниш ба таҳдид иҷро кунед. Шумо метавонед яке аз скриптҳои дарунсохтро истифода баред ё худатонро эҷод кунед ва InTrust онро ба таври худкор паҳн мекунад.
Илова бар ин, шумо метавонед ҳама телеметрияи марбут ба ҳодисаро тафтиш кунед: скриптҳои PowerShell, иҷрои равандҳо, коркарди вазифаҳои ба нақша гирифташуда, фаъолияти маъмурии WMI ва онҳоро барои пас аз марг ҳангоми ҳодисаҳои амниятӣ истифода баред.
InTrust садҳо қоидаҳои дигар дорад, ки баъзеи онҳо:
- Муайян кардани ҳамлаи коҳиши PowerShell вақтест, ки касе дидаву дониста версияи кӯҳнаи PowerShell-ро истифода мебарад, зеро... дар версияи кӯҳна ҳеҷ роҳе барои тафтиши ҳодиса вуҷуд надошт.
- Муайян кардани вуруди имтиёзҳои баланд ин вақтест, ки ҳисобҳое, ки аъзои гурӯҳи муайяни имтиёздор мебошанд (масалан, маъмурони доменҳо) тасодуфан ё дар натиҷаи ҳодисаҳои амниятӣ ба истгоҳҳои корӣ ворид мешаванд.
InTrust ба шумо имкон медиҳад, ки таҷрибаҳои беҳтарини амниятро дар шакли қоидаҳои пешакӣ муайяншудаи ошкор ва вокуниш истифода баред. Ва агар шумо фикр кунед, ки чизе бояд ба таври дигар кор кунад, шумо метавонед нусхаи қоидаи худро созед ва онро мувофиқи зарурат танзим кунед. Шумо метавонед барои гузаронидани озмоиш ё гирифтани маҷмӯаҳои паҳнкунӣ бо иҷозатномаҳои муваққатӣ ариза пешниҳод кунед дар сайти мо.
Ба мо обуна шавед , мо дар он ҷо қайдҳои кӯтоҳ ва истинодҳои ҷолибро нашр мекунем.
Мақолаҳои дигари моро дар бораи амнияти иттилоот хонед:
(мақолаи маъмул)
Манбаъ: will.com