Hujumlarning eng keng tarqalgan turlaridan biri bu butunlay hurmatli jarayonlar ostida daraxtda zararli jarayonning paydo bo'lishidir. Bajariladigan faylga yo'l shubhali bo'lishi mumkin: zararli dastur ko'pincha AppData yoki Temp papkalaridan foydalanadi va bu qonuniy dasturlar uchun odatiy emas. Adolat uchun shuni aytish kerakki, ba'zi avtomatik yangilash yordam dasturlari AppData-da bajariladi, shuning uchun dasturning zararli ekanligini tasdiqlash uchun ishga tushirish joyini tekshirishning o'zi etarli emas.
Qonuniylikning qo'shimcha omili kriptografik imzodir: ko'plab original dasturlar sotuvchi tomonidan imzolanadi. Shubhali ishga tushirish elementlarini aniqlash usuli sifatida siz imzo yo'qligidan foydalanishingiz mumkin. Ammo keyin yana o'zini imzolash uchun o'g'irlangan sertifikatdan foydalanadigan zararli dastur mavjud.
Bundan tashqari, MD5 yoki SHA256 kriptografik xeshlarining qiymatini tekshirishingiz mumkin, bu avvalroq aniqlangan zararli dasturlarga mos kelishi mumkin. Dasturdagi imzolarga qarab statik tahlilni amalga oshirishingiz mumkin (Yara qoidalari yoki antivirus mahsulotlaridan foydalanish). Bundan tashqari, dinamik tahlil (dasturni ba'zi xavfsiz muhitda ishga tushirish va uning harakatlarini kuzatish) va teskari muhandislik mavjud.
Zararli jarayonning ko'plab belgilari bo'lishi mumkin. Ushbu maqolada biz sizga Windows-da tegishli hodisalarni tekshirishni qanday yoqishni aytib beramiz, biz o'rnatilgan qoida tayanadigan belgilarni tahlil qilamiz. shubhali jarayonni aniqlash. InTrust bu har xil turdagi hujumlarga yuzlab oldindan belgilangan reaktsiyalarga ega bo'lgan tuzilmagan ma'lumotlarni to'plash, tahlil qilish va saqlash uchun.
Dastur ishga tushirilgach, u kompyuter xotirasiga yuklanadi. Bajariladigan faylda kompyuter ko'rsatmalari va qo'llab-quvvatlovchi kutubxonalar mavjud (masalan, *.dll). Agar jarayon allaqachon ishlayotgan bo'lsa, u qo'shimcha oqimlarni yaratishi mumkin. Mavzular jarayonga bir vaqtning o'zida turli xil ko'rsatmalar to'plamini bajarishga imkon beradi. Zararli kodning xotiraga kirib borishi va ishga tushishi uchun ko'plab usullar mavjud, keling, ulardan ba'zilarini ko'rib chiqaylik.
Zararli jarayonni ishga tushirishning eng oson yo'li foydalanuvchini uni to'g'ridan-to'g'ri ishga tushirishga majburlash (masalan, elektron pochta ilovasidan), so'ngra kompyuter har safar yoqilganda uni ishga tushirish uchun RunOnce tugmasidan foydalaning. Bunga, shuningdek, PowerShell skriptlarini trigger asosida bajariladigan ro'yxatga olish kitobi kalitlarida saqlaydigan "faylsiz" zararli dastur ham kiradi. Bunday holda, PowerShell skripti zararli koddir.
Zararli dasturiy ta'minotning aniq ishlashi bilan bog'liq muammo shundaki, bu osonlikcha aniqlanadigan ma'lum yondashuv. Ba'zi zararli dasturlar xotirada ishlashni boshlash uchun boshqa jarayondan foydalanish kabi aqlliroq ishlarni qiladi. Shuning uchun, jarayon ma'lum bir kompyuter ko'rsatmasini ishga tushirish va ishga tushirish uchun bajariladigan faylni (.exe) belgilash orqali boshqa jarayonni yaratishi mumkin.
Fayl toʻliq yoʻl (masalan, C:Windowssystem32cmd.exe) yoki qisman yoʻl (masalan, cmd.exe) yordamida koʻrsatilishi mumkin. Agar dastlabki jarayon xavfli bo'lsa, u noqonuniy dasturlarni ishga tushirishga imkon beradi. Hujum quyidagicha ko'rinishi mumkin: jarayon to'liq yo'lni ko'rsatmasdan cmd.exe ni ishga tushiradi, tajovuzkor o'zining cmd.exe ni shunday joyga joylashtiradiki, jarayon uni qonuniydan oldin ishga tushiradi. Zararli dastur ishga tushgandan so'ng, u o'z navbatida qonuniy dasturni (masalan, C: Windowssystem32cmd.exe) ishga tushirishi mumkin, shunda asl dastur to'g'ri ishlashda davom etadi.
Avvalgi hujumning o'zgarishi qonuniy jarayonga DLL in'ektsiyasidir. Jarayon boshlanganda, u o'z funksiyalarini kengaytiradigan kutubxonalarni topadi va yuklaydi. DLL in'ektsiyasidan foydalanib, tajovuzkor bir xil nom va qonuniy API bilan zararli kutubxona yaratadi. Dastur zararli kutubxonani yuklaydi va u o'z navbatida qonuniy kutubxonani yuklaydi va kerak bo'lganda uni operatsiyalarni bajarishga chaqiradi. Zararli kutubxona yaxshi kutubxona uchun proksi sifatida ishlay boshlaydi.
Zararli kodni xotiraga joylashtirishning yana bir usuli - uni allaqachon ishlayotgan xavfli jarayonga kiritish. Jarayonlar turli manbalardan ma'lumotlarni oladi - tarmoq yoki fayllardan o'qish. Ular odatda kirishning qonuniyligini tekshirish uchun tekshiruv o'tkazadilar. Ammo ba'zi jarayonlar ko'rsatmalarni bajarishda tegishli himoyaga ega emas. Ushbu hujumda diskda kutubxona yoki zararli kodni o'z ichiga olgan bajariladigan fayl mavjud emas. Hamma narsa ekspluatatsiya qilinayotgan jarayon bilan birga xotirada saqlanadi.
Endi Windows-da bunday hodisalarni to'plashni yoqish metodologiyasini va InTrust-da bunday tahdidlardan himoya qilishni amalga oshiradigan qoidani ko'rib chiqaylik. Birinchidan, uni InTrust boshqaruv konsoli orqali faollashtiramiz.
Qoida Windows OS ning jarayonni kuzatish imkoniyatlaridan foydalanadi. Afsuski, bunday hodisalarni to'plashni yoqish aniq emas. Siz o'zgartirishingiz kerak bo'lgan 3 xil guruh siyosati sozlamalari mavjud:
Kompyuter konfiguratsiyasi > Siyosatlar > Windows sozlamalari > Xavfsizlik sozlamalari > Mahalliy siyosatlar > Audit siyosati > Audit jarayonini kuzatish
Kompyuter konfiguratsiyasi > Siyosatlar > Windows sozlamalari > Xavfsizlik sozlamalari > Kengaytirilgan audit siyosati konfiguratsiyasi > Audit siyosatlari > Batafsil kuzatuv > Audit jarayonini yaratish
Kompyuter konfiguratsiyasi > Qoidalar > Ma’muriy shablonlar > Tizim > Jarayonni yaratishni tekshirish > Jarayonni yaratish voqealariga buyruq qatorini qo‘shish
Yoqilgandan so'ng, InTrust qoidalari shubhali xatti-harakatlarni ko'rsatadigan ilgari noma'lum tahdidlarni aniqlash imkonini beradi. Masalan, siz aniqlay olasiz Dridex zararli dasturi. HP Bromium loyihasi tufayli biz bu tahdid qanday ishlashini bilamiz.
O'zining harakatlar zanjirida Dridex rejalashtirilgan vazifani yaratish uchun schtasks.exe dan foydalanadi. Buyruqlar qatoridan ushbu maxsus yordam dasturidan foydalanish juda shubhali xatti-harakatlar hisoblanadi; svchost.exe-ni foydalanuvchi papkalariga ishora qiluvchi parametrlar bilan yoki "net view" yoki "whoami" buyruqlariga o'xshash parametrlar bilan ishga tushirish o'xshash ko'rinadi. Bu erda tegishli qismning bir qismi :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust-da barcha shubhali xatti-harakatlar bitta qoidaga kiritilgan, chunki bu harakatlarning aksariyati ma'lum bir tahdidga xos emas, balki kompleksda shubhali bo'lib, 99% hollarda mutlaqo olijanob maqsadlarda foydalanilmaydi. Ushbu harakatlar ro'yxati quyidagilarni o'z ichiga oladi, lekin ular bilan cheklanmaydi:
- Foydalanuvchining vaqtinchalik papkalari kabi noodatiy joylardan ishlaydigan jarayonlar.
- Shubhali merosga ega taniqli tizim jarayoni - ba'zi tahdidlar aniqlanmaslik uchun tizim jarayonlari nomidan foydalanishga urinishi mumkin.
- Mahalliy tizim hisob ma'lumotlari yoki shubhali merosdan foydalanganda cmd yoki PsExec kabi ma'muriy vositalarning shubhali bajarilishi.
- Shubhali soya nusxasi operatsiyalari to'lov dasturi viruslarining tizimni shifrlashdan oldin keng tarqalgan xatti-harakati bo'lib, ular zaxira nusxalarini o'ldiradi:
— vssadmin.exe orqali;
- WMI orqali. - Butun ro'yxatga olish uyalaridagi chiqindilarni ro'yxatdan o'tkazing.
- At.exe kabi buyruqlar yordamida jarayon masofadan ishga tushirilganda zararli kodning gorizontal harakati.
- Shubhali mahalliy guruh operatsiyalari va net.exe yordamida domen operatsiyalari.
- netsh.exe yordamida shubhali xavfsizlik devori harakati.
- ACLning shubhali manipulyatsiyasi.
- Ma'lumotlarni o'tkazish uchun BITS dan foydalanish.
- WMI bilan shubhali manipulyatsiyalar.
- Shubhali skript buyruqlari.
- Xavfsiz tizim fayllarini o'chirishga urinishlar.
Birlashtirilgan qoida RUYK, LockerGoga va boshqa to'lov dasturlari, zararli dasturlar va kiber jinoyatlar uchun asboblar to'plami kabi tahdidlarni aniqlash uchun juda yaxshi ishlaydi. Qoida sotuvchi tomonidan ishlab chiqarish muhitida noto'g'ri pozitivlarni minimallashtirish uchun sinovdan o'tkazildi. Va SIGMA loyihasi tufayli ushbu ko'rsatkichlarning aksariyati minimal miqdordagi shovqin hodisalarini keltirib chiqaradi.
Chunki InTrust'da bu monitoring qoidasi bo'lib, siz tahdidga javob sifatida javob skriptini bajarishingiz mumkin. Siz o'rnatilgan skriptlardan birini ishlatishingiz yoki o'zingizni yaratishingiz mumkin va InTrust uni avtomatik ravishda tarqatadi.
Bundan tashqari, siz voqea bilan bog'liq barcha telemetriyani tekshirishingiz mumkin: PowerShell skriptlari, jarayonning bajarilishi, rejalashtirilgan vazifa manipulyatsiyalari, WMI ma'muriy faoliyati va ulardan xavfsizlik hodisalari paytida o'limdan keyingi tekshiruvlar uchun foydalanishingiz mumkin.
InTrust-da yana yuzlab qoidalar mavjud, ulardan ba'zilari:
- PowerShell versiyasini pasaytirish hujumini aniqlash, kimdir ataylab PowerShellning eski versiyasidan foydalanishi, chunki... eski versiyada nima bo'layotganini tekshirishning hech qanday usuli yo'q edi.
- Yuqori imtiyozli tizimga kirishni aniqlash - bu ma'lum bir imtiyozli guruh a'zosi bo'lgan hisoblar (masalan, domen administratorlari) tasodifan yoki xavfsizlik hodisalari tufayli ish stantsiyalariga kirishlari.
InTrust oldindan belgilangan aniqlash va reaktsiya qoidalari ko'rinishida eng yaxshi xavfsizlik amaliyotlaridan foydalanish imkonini beradi. Va agar biror narsa boshqacha ishlashi kerak deb hisoblasangiz, qoidaning o'z nusxasini yaratishingiz va kerak bo'lganda sozlashingiz mumkin. Siz uchuvchini o'tkazish yoki vaqtinchalik litsenziyalar bilan tarqatish to'plamlarini olish uchun ariza topshirishingiz mumkin bizning veb-saytimizda.
Bizning obuna bo'ling , biz u erda qisqa eslatmalar va qiziqarli havolalarni nashr etamiz.
Axborot xavfsizligi bo'yicha boshqa maqolalarimizni o'qing:
(mashhur maqola)
Manba: www.habr.com