Iṣiṣẹ olumulo jẹ aaye ti o ni ipalara julọ ti awọn amayederun ni awọn ofin ti aabo alaye. Awọn olumulo le gba lẹta kan si imeeli iṣẹ wọn ti o han lati wa lati orisun ailewu, ṣugbọn pẹlu ọna asopọ si aaye ti o ni akoran. Boya ẹnikan yoo ṣe igbasilẹ ohun elo ti o wulo fun iṣẹ lati ipo aimọ. Bẹẹni, o le wa pẹlu awọn dosinni ti awọn ọran ti bii malware ṣe le wọ inu awọn orisun ile-iṣẹ inu nipasẹ awọn olumulo. Nitorinaa, awọn aaye iṣẹ nilo akiyesi pọ si, ati ninu nkan yii a yoo sọ fun ọ ibiti ati kini awọn iṣẹlẹ lati ṣe lati ṣe atẹle awọn ikọlu.
Lati rii ikọlu ni ipele akọkọ ti o ṣeeṣe, WIndows ni awọn orisun iṣẹlẹ ti o wulo mẹta: Wọle Iṣẹ iṣẹlẹ Aabo, Wọle Abojuto Eto, ati Awọn Ikarahun Agbara.
Aabo Iṣẹlẹ Wọle
Eyi ni ibi ipamọ akọkọ fun awọn igbasilẹ aabo eto. Eyi pẹlu awọn iṣẹlẹ ti iwọle/jade olumulo, iraye si awọn nkan, awọn iyipada eto imulo, ati awọn iṣẹ ṣiṣe ti o ni ibatan si aabo. Dajudaju, ti o ba tunto eto imulo ti o yẹ.
Iṣiro ti awọn olumulo ati awọn ẹgbẹ (awọn iṣẹlẹ 4798 ati 4799). Ni ibẹrẹ ikọlu, malware nigbagbogbo n wa nipasẹ awọn akọọlẹ olumulo agbegbe ati awọn ẹgbẹ agbegbe lori ibi iṣẹ kan lati wa awọn iwe-ẹri fun awọn iṣowo ojiji rẹ. Awọn iṣẹlẹ wọnyi yoo ṣe iranlọwọ lati rii koodu irira ṣaaju ki o lọ siwaju ati, lilo data ti a gba, tan kaakiri si awọn eto miiran.
Ṣiṣẹda akọọlẹ agbegbe ati awọn iyipada ninu awọn ẹgbẹ agbegbe (awọn iṣẹlẹ 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ati 5377). Ikọlu naa tun le bẹrẹ, fun apẹẹrẹ, nipa fifi olumulo titun kun si ẹgbẹ awọn alakoso agbegbe.
Awọn igbiyanju buwolu wọle pẹlu akọọlẹ agbegbe kan (iṣẹlẹ 4624). Awọn olumulo ti o ni ọwọ wọle pẹlu akọọlẹ agbegbe kan, ati idamo iwọle labẹ akọọlẹ agbegbe le tumọ si ibẹrẹ ikọlu. Iṣẹlẹ 4624 tun pẹlu awọn iwọle labẹ akọọlẹ agbegbe kan, nitorinaa nigbati o ba n ṣiṣẹ awọn iṣẹlẹ, o nilo lati ṣe àlẹmọ awọn iṣẹlẹ nibiti aaye naa yatọ si orukọ ibudo iṣẹ.
Igbiyanju lati wọle pẹlu akọọlẹ pàtó kan (iṣẹlẹ 4648). Eyi yoo ṣẹlẹ nigbati ilana naa nṣiṣẹ ni ipo "ṣiṣe bi". Eyi ko yẹ ki o ṣẹlẹ lakoko iṣẹ ṣiṣe deede ti awọn eto, nitorinaa iru awọn iṣẹlẹ gbọdọ wa ni iṣakoso.
Titiipa / šiši aaye iṣẹ (awọn iṣẹlẹ 4800-4803). Ẹya ti awọn iṣẹlẹ ifura pẹlu eyikeyi awọn iṣe ti o waye lori ile-iṣẹ titiipa kan.
Awọn iyipada iṣeto ogiriina (awọn iṣẹlẹ 4944-4958). O han ni, nigba fifi sọfitiwia tuntun sori ẹrọ, awọn eto atunto ogiriina le yipada, eyiti yoo fa awọn idaniloju eke. Ni ọpọlọpọ igba, ko si iwulo lati ṣakoso iru awọn ayipada, ṣugbọn dajudaju kii yoo ṣe ipalara lati mọ nipa wọn.
Nsopọ awọn ẹrọ Plug'n'play (iṣẹlẹ 6416 ati fun WIndows 10 nikan). O ṣe pataki lati tọju oju lori eyi ti awọn olumulo ko ba sopọ awọn ẹrọ tuntun si ibi iṣẹ, ṣugbọn lẹhinna lojiji wọn ṣe.
Windows pẹlu awọn ẹka iṣayẹwo 9 ati awọn ẹka-isalẹ 50 fun iṣatunṣe itanran. Eto ti o kere ju ti awọn ẹka-isalẹ ti o yẹ ki o mu ṣiṣẹ ninu awọn eto:
Logon / Logoff
- Wọle;
- Jade;
- Titiipa Account;
- Miiran Logon / Logoff Events.
Idaabobo Account
- Isakoso Account olumulo;
- Aabo Ẹgbẹ Management.
Iyipada imulo
- Iyipada Afihan Ayẹwo;
- Iyipada Ilana Ijeri;
- Iyipada Afihan Aṣẹ.
Atẹle Eto (Sysmon)
Sysmon jẹ ohun elo ti a ṣe sinu Windows ti o le ṣe igbasilẹ awọn iṣẹlẹ ni akọọlẹ eto. Nigbagbogbo o nilo lati fi sii lọtọ.
Awọn iṣẹlẹ kanna le, ni ipilẹ, wa ninu iwe aabo (nipa ṣiṣe eto imulo iṣayẹwo ti o fẹ), ṣugbọn Sysmon pese alaye diẹ sii. Awọn iṣẹlẹ wo ni a le gba lati Sysmon?
Ṣiṣẹda ilana (ID iṣẹlẹ 1). Akọsilẹ iṣẹlẹ aabo eto tun le sọ fun ọ nigbati * .exe bẹrẹ ati paapaa ṣafihan orukọ rẹ ati ọna ifilọlẹ. Ṣugbọn ko dabi Sysmon, kii yoo ni anfani lati ṣafihan hash ohun elo naa. Sọfitiwia irira paapaa le pe ni notepad.exe ti ko lewu, ṣugbọn hash ni yoo mu wa si imọlẹ.
Awọn isopọ Nẹtiwọọki (ID Iṣẹlẹ 3). O han ni, ọpọlọpọ awọn asopọ nẹtiwọki wa, ati pe ko ṣee ṣe lati tọju gbogbo wọn. Ṣugbọn o ṣe pataki lati ronu pe Sysmon, ko dabi Aabo Aabo, le sopọ asopọ nẹtiwọki kan si awọn aaye ProcessID ati ProcessGUID, ati ṣafihan ibudo ati awọn adirẹsi IP ti orisun ati opin irin ajo.
Awọn iyipada ninu iforukọsilẹ eto (ID iṣẹlẹ 12-14). Ọna to rọọrun lati ṣafikun ararẹ si autorun ni lati forukọsilẹ ni iforukọsilẹ. Wọle Aabo le ṣe eyi, ṣugbọn Sysmon fihan ẹniti o ṣe awọn ayipada, nigbawo, lati ibo, ID ilana ati iye bọtini iṣaaju.
Ṣiṣẹda faili (ID iṣẹlẹ 11). Sysmon, ko dabi Wọle Aabo, yoo fihan kii ṣe ipo ti faili nikan, ṣugbọn orukọ rẹ tun. O han gbangba pe o ko le tọju abala ohun gbogbo, ṣugbọn o le ṣayẹwo awọn ilana kan.
Ati nisisiyi kini ko si ninu awọn eto imulo Wọle Aabo, ṣugbọn o wa ni Sysmon:
Iyipada akoko ẹda faili (ID iṣẹlẹ 2). Diẹ ninu awọn malware le spoof ọjọ ẹda faili kan lati tọju rẹ lati awọn ijabọ ti awọn faili ti o ṣẹda laipẹ.
Awọn awakọ ikojọpọ ati awọn ile ikawe ti o ni agbara (awọn ID iṣẹlẹ 6-7). Mimojuto ikojọpọ ti DLLs ati awọn awakọ ẹrọ sinu iranti, ṣayẹwo ibuwọlu oni-nọmba ati iwulo rẹ.
Ṣẹda o tẹle ara ni ilana ṣiṣe (ID iṣẹlẹ 8). Iru ikọlu kan ti o tun nilo lati ṣe abojuto.
Awọn iṣẹlẹ RawAccessRead (ID Iṣẹlẹ 9). Awọn iṣẹ ṣiṣe kika Diski ni lilo “”. Ninu ọpọlọpọ awọn ọran, iru iṣẹ ṣiṣe yẹ ki o jẹ ohun ajeji.
Ṣẹda ṣiṣan faili ti a npè ni (ID iṣẹlẹ 15). Iṣẹlẹ kan ti wọle nigbati ṣiṣan faili ti a darukọ ti ṣẹda ti o njade awọn iṣẹlẹ pẹlu hash ti awọn akoonu faili naa.
Ṣiṣẹda paipu ti a npè ni ati asopọ (ID iṣẹlẹ 17-18). Titele koodu irira ti o ba awọn paati miiran sọrọ nipasẹ paipu ti a npè ni.
WMI aṣayan iṣẹ-ṣiṣe (ID iṣẹlẹ 19). Iforukọsilẹ awọn iṣẹlẹ ti o ṣe ipilẹṣẹ nigbati o wọle si eto nipasẹ ilana WMI.
Lati daabobo Sysmon funrararẹ, o nilo lati ṣe atẹle awọn iṣẹlẹ pẹlu ID 4 (Sysmon didaduro ati ibẹrẹ) ati ID 16 (awọn ayipada iṣeto ni Sysmon).
Awọn akọọlẹ Ikarahun Agbara
Ikarahun Agbara jẹ ohun elo ti o lagbara fun ṣiṣakoso awọn amayederun Windows, nitorinaa awọn aye jẹ giga ti ikọlu yoo yan. Awọn orisun meji lo wa ti o le lo lati gba data iṣẹlẹ iṣẹlẹ PowerShell: Windows PowerShell log ati Microsoft-WindowsPowerShell/Akọọlẹ Iṣẹ.
Windows PowerShell wọle
Olupese data ti kojọpọ (ID iṣẹlẹ 600). Awọn olupese PowerShell jẹ awọn eto ti o pese orisun data fun PowerShell lati wo ati ṣakoso. Fun apẹẹrẹ, awọn olupese ti a ṣe sinu le jẹ awọn oniyipada ayika Windows tabi iforukọsilẹ eto. Awọn ifarahan ti awọn olupese titun gbọdọ wa ni abojuto lati le rii iṣẹ-ṣiṣe irira ni akoko. Fun apẹẹrẹ, ti o ba rii WSMan ti o farahan laarin awọn olupese, lẹhinna igba PowerShell latọna jijin ti bẹrẹ.
Microsoft-WindowsPowerShell / Iwe akọọlẹ iṣẹ (tabi MicrosoftWindows-PowerShellCore / Ṣiṣẹ ni PowerShell 6)
Module gedu (ID iṣẹlẹ 4103). Awọn iṣẹlẹ tọju alaye nipa pipaṣẹ ti o ṣiṣẹ kọọkan ati awọn aye ti a pe pẹlu rẹ.
Gbigbasilẹ iwe afọwọkọ (ID iṣẹlẹ 4104). Gbigbasilẹ iwe afọwọkọ ṣe afihan gbogbo bulọọki ti koodu PowerShell ti a ṣe. Paapaa ti ikọlu ba gbiyanju lati tọju aṣẹ naa, iru iṣẹlẹ yii yoo ṣafihan aṣẹ PowerShell ti o ti ṣiṣẹ ni otitọ. Iru iṣẹlẹ yii tun le wọle diẹ ninu awọn ipe API kekere ti o n ṣe, awọn iṣẹlẹ wọnyi ni a gbasilẹ nigbagbogbo bi Verbose, ṣugbọn ti aṣẹ ifura tabi iwe afọwọkọ kan ba lo ni bulọọki koodu, yoo wọle bi iwuwo Ikilọ kan.
Jọwọ ṣe akiyesi pe ni kete ti a ti tunto ọpa lati gba ati itupalẹ awọn iṣẹlẹ wọnyi, akoko n ṣatunṣe aṣiṣe yoo nilo lati dinku nọmba awọn idaniloju eke.
Sọ fun wa ninu awọn asọye kini awọn akọọlẹ ti o gba fun awọn iṣayẹwo aabo alaye ati awọn irinṣẹ wo ni o lo fun eyi. Ọkan ninu awọn agbegbe ti idojukọ wa ni awọn solusan fun iṣatunṣe awọn iṣẹlẹ aabo alaye. Lati yanju iṣoro ti gbigba ati itupalẹ awọn akọọlẹ, a le daba pe ki o wo ni pẹkipẹki , eyiti o le rọpọ data ti o fipamọ pẹlu ipin ti 20: 1, ati apẹẹrẹ ti a fi sii ti o lagbara lati ṣiṣẹ to awọn iṣẹlẹ 60000 fun iṣẹju kan lati awọn orisun 10000.
orisun: www.habr.com