🥇ونڈوز میں مشتبہ عمل کے آغاز کے بارے میں واقعات کے مجموعہ کو فعال کریں اور Quest InTrust کا استعمال کرتے ہوئے خطرات کی نشاندہی کریں

حملوں کی سب سے عام اقسام میں سے ایک درخت میں مکمل طور پر قابل احترام عمل کے تحت بدنیتی پر مبنی عمل کا پھیلنا ہے۔ قابل عمل فائل کا راستہ مشکوک ہو سکتا ہے: میلویئر اکثر AppData یا Temp فولڈرز کا استعمال کرتا ہے، اور یہ جائز پروگراموں کے لیے عام نہیں ہے۔ منصفانہ طور پر، یہ کہنے کے قابل ہے کہ کچھ خود کار طریقے سے اپ ڈیٹ کی افادیتیں AppData میں عمل میں آتی ہیں، لہذا صرف لانچ کی جگہ کی جانچ کرنا اس بات کی تصدیق کرنے کے لئے کافی نہیں ہے کہ پروگرام بدنیتی پر مبنی ہے۔

قانونی حیثیت کا ایک اضافی عنصر ایک کرپٹوگرافک دستخط ہے: بہت سے اصل پروگراموں پر وینڈر کے دستخط ہوتے ہیں۔ آپ اس حقیقت کو استعمال کر سکتے ہیں کہ مشتبہ سٹارٹ اپ اشیاء کی شناخت کے طریقہ کار کے طور پر کوئی دستخط نہیں ہے۔ لیکن پھر ایک بار پھر میلویئر ہے جو خود کو دستخط کرنے کے لیے چوری شدہ سرٹیفکیٹ کا استعمال کرتا ہے۔

آپ MD5 یا SHA256 کریپٹوگرافک ہیشز کی قدر بھی چیک کر سکتے ہیں، جو کچھ پہلے پتہ لگائے گئے میلویئر کے مطابق ہو سکتے ہیں۔ آپ پروگرام میں دستخطوں کو دیکھ کر جامد تجزیہ کر سکتے ہیں (یارا قواعد یا اینٹی وائرس مصنوعات کا استعمال کرتے ہوئے)۔ متحرک تجزیہ (کسی محفوظ ماحول میں پروگرام چلانا اور اس کے اعمال کی نگرانی) اور ریورس انجینئرنگ بھی ہے۔

بدنیتی پر مبنی عمل کی بہت سی نشانیاں ہو سکتی ہیں۔ اس آرٹیکل میں ہم آپ کو بتائیں گے کہ ونڈوز میں متعلقہ ایونٹس کی آڈیٹنگ کو کیسے فعال کیا جائے، ہم ان علامات کا تجزیہ کریں گے جن پر بلٹ ان رول انحصار کرتا ہے۔ InTrust مشکوک عمل کی نشاندہی کرنے کے لیے۔ InTrust ہے۔ CLM پلیٹ فارم غیر ساختہ ڈیٹا کو اکٹھا کرنے، تجزیہ کرنے اور ذخیرہ کرنے کے لیے، جس میں پہلے سے ہی مختلف قسم کے حملوں پر سینکڑوں پہلے سے طے شدہ رد عمل موجود ہیں۔

جب پروگرام شروع ہوتا ہے، تو یہ کمپیوٹر کی میموری میں لوڈ ہو جاتا ہے۔ قابل عمل فائل کمپیوٹر کی ہدایات اور معاون لائبریریوں پر مشتمل ہے (مثال کے طور پر، *.dll)۔ جب کوئی عمل پہلے سے چل رہا ہے، تو یہ اضافی تھریڈز بنا سکتا ہے۔ تھریڈز ایک عمل کو بیک وقت ہدایات کے مختلف سیٹوں پر عمل کرنے کی اجازت دیتے ہیں۔ نقصان دہ کوڈ کے میموری میں گھسنے اور چلانے کے بہت سے طریقے ہیں، آئیے ان میں سے کچھ کو دیکھتے ہیں۔

نقصان دہ عمل کو شروع کرنے کا سب سے آسان طریقہ یہ ہے کہ صارف کو اسے براہ راست لانچ کرنے پر مجبور کیا جائے (مثال کے طور پر، کسی ای میل اٹیچمنٹ سے)، پھر ہر بار کمپیوٹر آن ہونے پر اسے لانچ کرنے کے لیے RunOnce کلید کا استعمال کریں۔ اس میں "فائل لیس" میلویئر بھی شامل ہے جو پاور شیل اسکرپٹس کو رجسٹری کیز میں اسٹور کرتا ہے جو ٹرگر کی بنیاد پر عمل میں آتی ہیں۔ اس صورت میں، پاور شیل اسکرپٹ بدنیتی پر مبنی کوڈ ہے۔

واضح طور پر چلنے والے میلویئر کے ساتھ مسئلہ یہ ہے کہ یہ ایک جانا پہچانا طریقہ ہے جس کا آسانی سے پتہ چل جاتا ہے۔ کچھ میلویئر زیادہ ہوشیار کام کرتے ہیں، جیسے کہ میموری میں عمل شروع کرنے کے لیے کوئی اور عمل استعمال کرنا۔ لہذا، ایک عمل ایک مخصوص کمپیوٹر انسٹرکشن چلا کر اور چلانے کے لیے ایک ایگزیکیوٹیبل فائل (.exe) کو بتا کر ایک اور عمل تشکیل دے سکتا ہے۔

فائل کو ایک مکمل راستہ (مثال کے طور پر، C:Windowssystem32cmd.exe) یا جزوی راستہ (مثال کے طور پر، cmd.exe) کا استعمال کرتے ہوئے بیان کیا جا سکتا ہے۔ اگر اصل عمل غیر محفوظ ہے، تو یہ ناجائز پروگراموں کو چلانے کی اجازت دے گا۔ حملہ اس طرح نظر آ سکتا ہے: ایک عمل مکمل راستے کی وضاحت کیے بغیر cmd.exe کو شروع کرتا ہے، حملہ آور اپنے cmd.exe کو ایک جگہ پر رکھتا ہے تاکہ عمل اسے جائز سے پہلے شروع کرے۔ میلویئر کے چلنے کے بعد، یہ ایک جائز پروگرام (جیسے C:Windowssystem32cmd.exe) شروع کر سکتا ہے تاکہ اصل پروگرام صحیح طریقے سے کام کرتا رہے۔

پچھلے حملے کی ایک تبدیلی ایک جائز عمل میں DLL انجیکشن ہے۔ جب کوئی عمل شروع ہوتا ہے، تو یہ لائبریریاں ڈھونڈتا اور لوڈ کرتا ہے جو اس کی فعالیت کو بڑھاتی ہیں۔ DLL انجیکشن کا استعمال کرتے ہوئے، ایک حملہ آور ایک ہی نام اور API کے ساتھ ایک جائز لائبریری بناتا ہے۔ پروگرام ایک بدنیتی پر مبنی لائبریری لوڈ کرتا ہے، اور یہ، بدلے میں، ایک جائز کو لوڈ کرتا ہے، اور، جیسا کہ ضروری ہو، اسے کام کرنے کے لیے کال کرتا ہے۔ بدنیتی پر مبنی لائبریری اچھی لائبریری کے لیے پراکسی کے طور پر کام کرنا شروع کر دیتی ہے۔

نقصان دہ کوڈ کو میموری میں ڈالنے کا دوسرا طریقہ یہ ہے کہ اسے کسی غیر محفوظ عمل میں داخل کیا جائے جو پہلے سے چل رہا ہے۔ عمل مختلف ذرائع سے ان پٹ وصول کرتے ہیں - نیٹ ورک یا فائلوں سے پڑھنا۔ وہ عام طور پر یہ یقینی بنانے کے لیے چیک کرتے ہیں کہ ان پٹ جائز ہے۔ لیکن ہدایات پر عمل کرتے وقت کچھ عملوں کو مناسب تحفظ حاصل نہیں ہوتا ہے۔ اس حملے میں، ڈسک یا ایگزیکیوٹیبل فائل پر کوئی لائبریری نہیں ہے جس میں بدنیتی پر مبنی کوڈ ہو۔ استحصال کے عمل کے ساتھ ساتھ ہر چیز میموری میں محفوظ ہے۔

اب آئیے ونڈوز میں اس طرح کے واقعات کے مجموعہ کو فعال کرنے کے طریقہ کار اور InTrust کے اصول کو دیکھتے ہیں جو اس طرح کے خطرات کے خلاف تحفظ کو نافذ کرتا ہے۔ سب سے پہلے، آئیے اسے InTrust مینجمنٹ کنسول کے ذریعے ایکٹیویٹ کریں۔

یہ اصول ونڈوز OS کی پروسیس ٹریکنگ کی صلاحیتوں کا استعمال کرتا ہے۔ بدقسمتی سے، اس طرح کے واقعات کے مجموعہ کو فعال کرنا واضح نہیں ہے۔ 3 مختلف گروپ پالیسی سیٹنگز ہیں جنہیں آپ کو تبدیل کرنے کی ضرورت ہے:

کمپیوٹر کنفیگریشن > پالیسیاں > ونڈوز سیٹنگز > سکیورٹی سیٹنگز > لوکل پالیسیاں > آڈٹ پالیسی > آڈٹ کے عمل سے باخبر رہنا

کمپیوٹر کنفیگریشن > پالیسیاں > ونڈوز سیٹنگز > سکیورٹی سیٹنگز > ایڈوانسڈ آڈٹ پالیسی کنفیگریشن > آڈٹ پالیسیاں > تفصیلی ٹریکنگ > آڈٹ کے عمل کی تخلیق

کمپیوٹر کنفیگریشن > پالیسیاں > انتظامی ٹیمپلیٹس > سسٹم > آڈٹ عمل تخلیق > عمل تخلیق کے واقعات میں کمانڈ لائن شامل کریں

ایک بار فعال ہونے کے بعد، InTrust کے قوانین آپ کو پہلے سے نامعلوم خطرات کا پتہ لگانے کی اجازت دیتے ہیں جو مشکوک رویے کو ظاہر کرتے ہیں۔ مثال کے طور پر، آپ شناخت کر سکتے ہیں یہاں بیان کیا گیا ہے Dridex میلویئر۔ HP Bromium پروجیکٹ کی بدولت، ہم جانتے ہیں کہ یہ خطرہ کیسے کام کرتا ہے۔

اپنے عمل کے سلسلے میں، Dridex ایک طے شدہ کام بنانے کے لیے schtasks.exe کا استعمال کرتا ہے۔ کمانڈ لائن سے اس مخصوص یوٹیلیٹی کو استعمال کرنا بہت مشکوک رویہ سمجھا جاتا ہے؛ svchost.exe کو ایسے پیرامیٹرز کے ساتھ لانچ کرنا جو صارف کے فولڈرز کی طرف اشارہ کرتے ہیں یا "نیٹ ویو" یا "whoami" کمانڈز سے ملتے جلتے پیرامیٹرز کے ساتھ ملتے جلتے نظر آتے ہیں۔ یہاں متعلقہ کا ایک ٹکڑا ہے۔ سگما کے قوانین:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust میں، تمام مشکوک رویے کو ایک اصول میں شامل کیا جاتا ہے، کیونکہ ان میں سے زیادہ تر کارروائیاں کسی خاص خطرے کے لیے مخصوص نہیں ہوتیں، بلکہ ایک کمپلیکس میں مشکوک ہوتی ہیں اور 99% معاملات میں مکمل طور پر اچھے مقاصد کے لیے استعمال نہیں ہوتے۔ اعمال کی اس فہرست میں شامل ہیں، لیکن ان تک محدود نہیں ہے:

غیر معمولی مقامات سے چلنے والے عمل، جیسے صارف کے عارضی فولڈرز۔
مشتبہ وراثت کے ساتھ معروف نظام کا عمل - کچھ خطرات ناقابل شناخت رہنے کے لیے سسٹم کے عمل کا نام استعمال کرنے کی کوشش کر سکتے ہیں۔
انتظامی ٹولز جیسے cmd یا PsExec کی مشتبہ سزائیں جب وہ مقامی سسٹم کی اسناد یا مشکوک وراثت کا استعمال کرتے ہیں۔
کسی سسٹم کو خفیہ کرنے سے پہلے مشکوک شیڈو کاپی آپریشن رینسم ویئر وائرس کا ایک عام رویہ ہے؛ وہ بیک اپ کو ختم کر دیتے ہیں:
- vssadmin.exe کے ذریعے؛
- WMI کے ذریعے۔
پورے رجسٹری چھتے کے ڈمپ رجسٹر کریں۔
بدنیتی کوڈ کی افقی حرکت جب at.exe جیسی کمانڈز کا استعمال کرتے ہوئے دور سے کوئی عمل شروع کیا جاتا ہے۔
net.exe کا استعمال کرتے ہوئے مشکوک مقامی گروپ آپریشنز اور ڈومین آپریشنز۔
netsh.exe کا استعمال کرتے ہوئے مشتبہ فائر وال سرگرمی۔
ACL کی مشکوک ہیرا پھیری۔
ڈیٹا کے اخراج کے لیے BITS کا استعمال۔
WMI کے ساتھ مشکوک ہیرا پھیری۔
مشکوک اسکرپٹ کمانڈز۔
محفوظ سسٹم فائلوں کو ڈمپ کرنے کی کوشش۔

مشترکہ اصول RUYK، LockerGoga اور دیگر ransomware، مال ویئر اور سائبر کرائم ٹول کٹس جیسے خطرات کا پتہ لگانے کے لیے بہت اچھا کام کرتا ہے۔ جھوٹے مثبت کو کم سے کم کرنے کے لیے پروڈکشن کے ماحول میں وینڈر کے ذریعہ اصول کا تجربہ کیا گیا ہے۔ اور SIGMA پروجیکٹ کی بدولت، ان میں سے زیادہ تر اشارے شور کے واقعات کی کم سے کم تعداد پیدا کرتے ہیں۔

کیونکہ InTrust میں یہ ایک نگرانی کا اصول ہے، آپ کسی خطرے کے ردعمل کے طور پر جوابی اسکرپٹ پر عمل کر سکتے ہیں۔ آپ بلٹ ان اسکرپٹس میں سے ایک استعمال کر سکتے ہیں یا اپنی تخلیق کر سکتے ہیں اور InTrust اسے خود بخود تقسیم کر دے گا۔

اس کے علاوہ، آپ ایونٹ سے متعلق تمام ٹیلی میٹری کا معائنہ کر سکتے ہیں: پاور شیل اسکرپٹس، عمل پر عمل درآمد، طے شدہ ٹاسک کی ہیرا پھیری، WMI انتظامی سرگرمی، اور حفاظتی واقعات کے دوران پوسٹ مارٹم کے لیے ان کا استعمال کریں۔

InTrust کے سینکڑوں دوسرے اصول ہیں، ان میں سے کچھ:

پاور شیل ڈاؤن گریڈ حملے کا پتہ لگانا اس وقت ہوتا ہے جب کوئی جان بوجھ کر پاور شیل کا پرانا ورژن استعمال کرتا ہے کیونکہ... پرانے ورژن میں آڈٹ کرنے کا کوئی طریقہ نہیں تھا کہ کیا ہو رہا ہے۔
اعلی مراعات یافتہ لاگ ان کا پتہ لگانا اس وقت ہوتا ہے جب وہ اکاؤنٹس جو کسی خاص مراعات یافتہ گروپ کے ممبر ہوتے ہیں (جیسے ڈومین ایڈمنسٹریٹر) حادثاتی طور پر یا سیکیورٹی کے واقعات کی وجہ سے ورک سٹیشن پر لاگ ان ہوتے ہیں۔

InTrust آپ کو پہلے سے طے شدہ پتہ لگانے اور رد عمل کے قواعد کی شکل میں بہترین حفاظتی طریقوں کو استعمال کرنے کی اجازت دیتا ہے۔ اور اگر آپ سوچتے ہیں کہ کسی چیز کو مختلف طریقے سے کام کرنا چاہیے، تو آپ اصول کی اپنی کاپی بنا سکتے ہیں اور ضرورت کے مطابق اسے ترتیب دے سکتے ہیں۔ آپ پائلٹ کروانے یا عارضی لائسنس کے ساتھ ڈسٹری بیوشن کٹس حاصل کرنے کے لیے درخواست جمع کر سکتے ہیں رائے کا فارم ہماری ویب سائٹ پر

ہمارے سبسکرائب کریں۔ فیس بک پیج، ہم وہاں مختصر نوٹس اور دلچسپ لنکس شائع کرتے ہیں۔

معلومات کی حفاظت پر ہمارے دوسرے مضامین پڑھیں:

InTrust کس طرح RDP کے ذریعے اجازت دینے کی ناکام کوششوں کی شرح کو کم کرنے میں مدد کر سکتا ہے۔

ہمیں رینسم ویئر حملے کا پتہ چلتا ہے، ڈومین کنٹرولر تک رسائی حاصل ہوتی ہے اور ان حملوں کے خلاف مزاحمت کرنے کی کوشش کرتے ہیں۔

ونڈوز پر مبنی ورک سٹیشن کے لاگ سے کون سی مفید چیزیں نکالی جا سکتی ہیں؟ (مقبول مضمون)

چمٹا یا ڈکٹ ٹیپ کے بغیر صارفین کے لائف سائیکل کو ٹریک کرنا

کس نے کیا؟ ہم انفارمیشن سیکیورٹی آڈٹ کو خودکار بناتے ہیں۔

SIEM سسٹم کی ملکیت کی لاگت کو کیسے کم کیا جائے اور آپ کو سینٹرل لاگ مینجمنٹ (CLM) کی ضرورت کیوں ہے

ماخذ: www.habr.com