Famantarana ny rakitra tsy misy rakitra: torolalana feno amin'ny fitadiavana sy fampiatoana ny malware amin'ny fitadidiana

Ny fanafihana izay miasa tsy mamela soritra amin'ny kapila dia lasa aretin'andoha lehibe ho an'ny ekipa fiarovana maro satria manatanteraka tanteraka ao anaty fitadidiana izy ireo ary manararaotra ny fizotran'ny rafitra ara-dalàna. Noho izany dia zava-dehibe ny fahalalana ny fomba hamantarana ny rakitra tsy misy rakitra ary miaro tena amin’izy ireo.

Ankoatra ny lohatenim-baovao sy ny fironana, ny fahatakarana ny fomba fiasan'izy ireo, ny antony mahasarotra azy, ary ny famantarana ahafahantsika mamantatra azy ireo dia mahatonga ny fahasamihafana eo amin'ny fitahirizana zava-nitranga iray sy ny fanenenana ny fandikan-dalàna. Amin'ireto andalana manaraka ireto, dia mandinika ny olana isika ary manolotra soso-kevitra vahaolana.

Inona ny malware tsy misy rakitra ary nahoana izany no zava-dehibe?

 

Ny malware tsy misy rakitra dia tsy fianakaviana manokana, fa fomba fiasa: Fadio ny manoratra executable amin'ny kapila Mampiasa serivisy sy binary efa misy ao amin'ny rafitra izy io mba hampiharana kaody ratsy. Raha tokony hamela rakitra mora azo scann ilay mpanafika, dia manararaotra ny fitaovana azo itokisana ary mampiditra ny lojikany mivantana ao amin'ny RAM.

Ity fomba fiasa ity dia matetika tafiditra ao amin'ny filozofia 'Miaina amin'ny tany': fitaovana ny mpanafika fitaovana voajanahary toy ny PowerShell, WMI, mshta, rundll32 na motera fanoratana toy ny VBScript sy JScript mba hanatratrarana ny tanjony amin'ny tabataba kely.

Anisan'ireo endri-javatra maneho ny tena maha-solontena azy dia hitantsika: famonoana amin'ny fitadidiana miovaova, faharetana kely na tsy misy eo amin'ny kapila, fampiasana singa misy sonia rafitra ary fahafaha-miala amin'ny maotera mifototra amin'ny sonia.

Na dia maro aza ny enta-mavesatra nanjavona aorian'ny famerenana indray, aza voafitaka: afaka mametraka fikirizana ny fahavalo amin'ny alàlan'ny fampiasana ny fanalahidin'ny rejisitra, ny famandrihana WMI, na ny asa voalahatra, tsy mamela binary mampiahiahy ao amin'ny kapila.

Nahoana no sarotra amintsika ny mamantatra ireo rakitra tsy misy rakitra?

Ny sakana voalohany dia mazava: Tsy misy rakitra anomaliana hojerenaNy programa antivirus nentim-paharazana mifototra amin'ny sonia sy ny famakafakana ny rakitra dia tsy dia manana toerana firy ho an'ny fihetsehana rehefa mipetraka amin'ny dingana manan-kery ny famonoana ary mitoetra ao anaty fitadidiana ny lojika ratsy.

Ny faharoa dia hafetsena kokoa: ny mpanafika dia misaron-tava ao ambadika fomba fiasa ara-dalànaRaha ampiasaina isan'andro amin'ny fitantanana ny PowerShell na WMI, ahoana no hanavahanao ny fampiasana mahazatra amin'ny fampiasana ratsy tsy misy contexte sy telemetry amin'ny fitondran-tena?

Ankoatra izany, ny fanakanana an-jambany ireo fitaovana manakiana dia tsy azo atao. Ny fanesorana ny PowerShell na ny macros Office manerana ny solaitrabe dia mety hanimba ny asa ary Tsy misoroka tanteraka ny fanararaotana izanysatria misy lalana sy teknika famonoana hafa maro handosirana ireo sakana tsotra.

Ho fanampin'izany rehetra izany, tara loatra ny fisavana amin'ny rahona na amin'ny lafiny server mba hisorohana ny olana. Raha tsy misy fahitana mivantana eo an-toerana amin'ny olana... andalana baiko, fifandraisana amin'ny fizotrany, ary hetsika an-tsoratraNy mpandraharaha dia tsy afaka manalefaka ny fandehanana ratsy izay tsy mamela soritra amin'ny kapila.

Ahoana ny fiasan'ny fanafihana tsy misy rakitra manomboka amin'ny voalohany ka hatramin'ny farany

Ny fidirana voalohany dia matetika miaraka amin'ny vectors mitovy amin'ny mahazatra: phishing miaraka amin'ny antontan-taratasy birao izay mangataka mba hahafahan'ny votoaty mavitrika, rohy mankany amin'ny tranokala voatohintohina, fanararaotana ny vulnerability amin'ny rindranasa miharihary, na fanararaotana ny fahazoan-dàlana tafaporitsaka mba hidirana amin'ny alàlan'ny RDP na serivisy hafa.

Rehefa ao anatiny dia mitady hamono tsy hikasika ny kapila ny mpanohitra. Mba hanaovana izany, dia mampifandray ny fiasan'ny rafitra izy ireo: macros na DDE amin'ny antontan-taratasy izay mandefa baiko, manararaotra ny fihoaram-pefy ho an'ny RCE, na miantso binaries azo itokisana izay mamela ny fametahana sy ny fanatanterahana ny kaody ao anaty fitadidiana.

Raha mitaky fitohizan'ny asa dia azo ampiharina ny fikirizana nefa tsy mampiasa executable vaovao: fanombohana fidirana ao amin'ny rejisitraFamandrihana WMI izay mihetsika amin'ny hetsika rafitra na asa voalahatra izay miteraka script amin'ny fepetra sasany.

Amin'ny fametrahana ny famonoana, ny tanjona dia mibaiko ireto dingana manaraka ireto: mihetsika lateral, exfiltrate angonaTafiditra ao anatin'izany ny fangalarana ny fahazoan-dàlana, ny fametrahana RAT, ny fitrandrahana vola crypto, na ny fampandehanana ny fanafenana rakitra amin'ny tranga ransomware. Izany rehetra izany dia atao, raha azo atao, amin'ny alàlan'ny fampiasana ireo fiasa efa misy.

Ny fanesorana porofo dia anisan'ny drafitra: amin'ny alàlan'ny tsy fanoratana binary mampiahiahy, ny mpanafika dia mampihena be ny artifact hodinihina. mampifangaro ny asany eo amin'ny zava-mitranga mahazatra an'ny rafitra ary famafana ny dian vonjimaika raha azo atao.

Teknika sy fitaovana izay matetika ampiasainy

Ny katalaogy dia midadasika, saingy saika mihodinkodina amin'ny kojakoja teratany sy lalana azo itokisana. Anisan'ireo mahazatra indrindra ireo, miaraka amin'ny tanjona foana ampitomboy ny famonoana ao anaty fitadidiana ary manjavozavo ny trace:

• PowerShellFanoratra mahery vaika, fidirana amin'ny Windows API, ary automatique. Ny fahaiza-manaony dia mahatonga azy io ho ankafizin'ny fitantanana sy ny fanararaotana manafintohina.
• WMI (fitaovana fitantanana Windows)Izany dia ahafahanao manontany sy mamaly ny hetsika amin'ny rafitra, ary koa manao hetsika lavitra sy eo an-toerana; mahasoa ho an'ny fikirizana sy orkestra.
• VBScript sy JScript: motera misy amin'ny tontolo maro izay manamora ny fanatanterahana ny lojika amin'ny alalan'ny singa rafitra.
• mshta, rundll32 ary binary azo itokisana hafa: ireo LoLBins fanta-daza izay, rehefa ampifandraisina tsara, dia afaka tanteraho ny kaody fa tsy mandatsaka artifact miharihary amin'ny kapila.
• Antontan-taratasy misy votoaty mavitrikaNy Macros na DDE ao amin'ny Office, ary koa ny mpamaky PDF miaraka amin'ny endri-javatra mandroso, dia azo ampiasaina ho toy ny lozisialy hanombohana baiko ho fahatsiarovana.
• Windows Registry: fanalahidin'ny tena boot na fitehirizana entana miafina/nafenina izay ampiasan'ny singa rafitra.
• Fanafihana sy tsindrona amin'ny dingana: fanovana ny habaka fitadidiana ny fizotran'ny fandehanana ho an'ny mampiantrano lojika ratsy ao anatin'ny executable ara-dalàna.
• Kitapo miasa: Famantarana ny fahalemena ao amin'ny rafitry ny niharam-boina sy ny fametrahana ny fanararaotana mifanaraka amin'ny fanatanterahana ny famonoana tsy misy fikasihana ny kapila.

Ny fanamby ho an'ny orinasa (ary nahoana no tsy ampy ny fanakanana tsotra izao ny zava-drehetra)

Ny fomba fiasa tsy misy dikany dia manolotra fepetra henjana: manakana ny PowerShell, mandrara ny macro, misoroka ny binary toy ny rundll32. Ny zava-misy dia mibaribary kokoa: Tena ilaina ny maro amin'ireo fitaovana ireo. ho an'ny asa IT isan'andro sy ho an'ny automation administratif.

Fanampin'izany, mitady banga ireo mpanafika: fampandehanana ny motera fanoratana amin'ny fomba hafa, mampiasa kopia hafaAzonao atao ny mametraka lojika amin'ny sary na mampiasa LoLBins tsy dia voara-maso. Ny fanakanana habibiana dia miteraka fifandirana amin'ny farany nefa tsy manome fiarovana tanteraka.

Tsy mamaha ny olana koa ny famakafakana amin'ny lafiny server na rahona. Tsy misy telemetry endpoint manankarena ary tsy misy famaliana ao amin'ny agent mihitsyTara ny fanapahan-kevitra ary tsy azo atao ny fisorohana satria tsy maintsy miandry ny didim-pitsarana avy any ivelany.

Mandritra izany fotoana izany, ny tatitra momba ny tsena dia efa ela no nanondro ny fitomboana lehibe amin'ity faritra ity, miaraka amin'ny tampon'ny toerana misy ny Efa ho avo roa heny ny ezaka hanararaotana ny PowerShell ao anatin'ny fotoana fohy, izay manamafy fa tetika miverimberina sy mahasoa ho an'ny fahavalo izany.

Fikarohana maoderina: manomboka amin'ny rakitra mankany amin'ny fitondran-tena

Ny fanalahidy dia tsy hoe iza no manatanteraka, fa ahoana ary nahoana. Fanaraha-maso ny fitondran-tena sy ny fifandraisany Manapa-kevitra izany: baiko baiko, lova dingana, antso API saro-pady, fifandraisana mivoaka, fanovana rejistra ary hetsika WMI.

Ity fomba fiasa ity dia mampihena tanteraka ny evasion: na dia miova aza ny binary, ny miverimberina ny fomba fanafihana (scripts misintona sy manatanteraka ho fahatsiarovana, fanararaotana ny LoLBins, fiantsoana mpandika teny, sns.). Ny famakafakana an'io script io, fa tsy ny 'famantarana' ny rakitra, dia manatsara ny fahitana.

Ny sehatra EDR/XDR mahomby dia mampifandray famantarana mba hanamboarana ny tantaran'ny zava-nitranga feno, hamantarana ny ny tena antony Raha tokony hanome tsiny ny dingana izay 'niseho' ity fitantarana ity, dia mampifandray ireo attachments, macros, mpandika teny, enta-mavesatra ary fikirizana mba hanalefahana ny fikorianan'ny rehetra, fa tsy ampahany mitokana fotsiny.

Ny fampiharana ny rafitra toy ny MITER ATT&CK Manampy amin'ny sarintany ny paikady sy teknika (TTPs) voamarika ary mitarika ny fihazana fandrahonana mankany amin'ny fitondran-tena mahaliana: famonoana, fikirizana, fandosirana fiarovana, fidirana amin'ny fahazoan-dàlana, fikarohana, hetsika lateral ary fandroahana.

Farany, tsy maintsy atao eo no ho eo ny fandrindrana ny valin-kafatra farany: mitoka-monina ny fitaovana, faran'ny dingana Tafiditra ao anatin'izany, avereno ny fanovana ao amin'ny Rejistra na mpandrindra asa ary sakanana ny fifandraisana mivoaka mampiahiahy tsy misy fiandrasana fanamafisana ivelany.

Telemetry mahasoa: inona no hojerena ary ahoana no laharam-pahamehana

Mba hampitomboana ny mety hisian'ny fitiliana nefa tsy mahavoky ny rafitra, dia tsara ny manao laharam-pahamehana ny famantarana avo lenta. Loharano sy fanaraha-maso sasany izay manome contexte. manakiana ho an'ny tsy misy rakitra Izy ireo dia:

• Log PowerShell amin'ny antsipiriany ary mpandika teny hafa: diarin'ny sakana script, tantara momba ny baiko, maodely feno entana, ary hetsika AMSI, rehefa misy.
• WMI repositoryFanisana sy fampandrenesana momba ny famoronana na fanovana sivana hetsika, mpanjifa ary rohy, indrindra amin'ny toerana misy anarana saro-pady.
• Hetsika fiarovana sy Sysmon: fifamatorana eo amin'ny dingana, fahamarinan'ny sary, fametahana fahatsiarovana, tsindrona, ary famoronana asa voalahatra.
• Red: fifandraisana ivelany tsy misy dikany, fanilo, fomba fampidinana entana, ary fampiasana fantsona miafina amin'ny fivoahana.

Ny automatique dia manampy amin'ny fanavahana ny varimbazaha amin'ny akofa: fitsipika fanaraha-maso mifototra amin'ny fitondran-tena, lisitry ny fahazoan-dàlana ho an'ny fitantanana ara-dalàna ary ny fampitomboana amin'ny faharanitan-tsaina fandrahonana dia mametra ny valiny diso ary manafaingana ny valiny.

Fisorohana sy fampihenana ny surface

Tsy misy fepetra tokana ampy, fa ny fiarovan-tena misy sosona dia mampihena be ny risika. Amin'ny lafiny fisorohana, misy andalana maromaro misongadina tapaho ny vectors ary manasarotra ny fiainana ny fahavalo.

• Fitantanana macro: Atsaharo amin'ny alàlan'ny default ary avelao raha tena ilaina sy voasonia; fanaraha-maso granular amin'ny alàlan'ny politikan'ny vondrona.
• Famerana ny mpandika teny sy LoLBins: Ampiharo AppLocker/WDAC na mitovy aminy, fanaraha-maso ny script sy ny maodely famonoana miaraka amin'ny logging feno.
• Patching sy fanalefahana: manakatona ny vulnerability azo trandrahana ary manetsika ny fiarovana ny fitadidiana izay mametra ny RCE sy ny tsindrona.
• Fanamarinana matanjakaMFA sy ny fitsipiky ny fahatokisana aotra mba hanakanana ny fanararaotana ara-dalàna sy mampihena ny hetsika lateral.
• Fahatsiarovan-tena sy simulationsFampiofanana azo ampiharina momba ny phishing, antontan-taratasy misy votoaty mavitrika, ary famantarana famonoana tsy mety.

Ireo fepetra ireo dia mifameno amin'ny vahaolana izay mamakafaka ny fifamoivoizana sy ny fitadidiana mba hamantarana ny fitondran-tena ratsy amin'ny fotoana tena izy, ary koa politika fizarana ary tombontsoa faran'izay kely indrindra amin'ny fitazonana ny fiantraikany rehefa misy zavatra mandalo.

Serivisy sy fomba fiasa miasa

Ao amin'ny tontolo misy teboka faran'izay maro sy mitsikera avo lenta, mitantana serivisy fitiliana sy valiny miaraka amin'ny Fanaraha-maso 24/7 Noporofoin'izy ireo fa manafaingana ny famerana ny tranga. Ny fitambaran'ny SOC, EMDR/MDR, ary EDR/XDR dia manome maso manam-pahaizana, telemetry manankarena ary fahaiza-manaon'ny famaliana.

Ny mpamatsy mahomby indrindra dia nampiditra ny fiovana ho amin'ny fitondran-tena: mpiasa maivana izay mampifandray ny hetsika amin'ny ambaratonga kernelManangana ny tantaran'ny fanafihana feno izy ireo ary mampihatra fanalefahana mandeha ho azy rehefa mahita rojo vy maloto, miaraka amin'ny fahafaha-manafoana ny fanovana.

Mifanitsy amin'izany, ny suite fiarovana amin'ny endpoint sy ny sehatra XDR dia mampifandray ny fahitana afovoany sy ny fitantanana fandrahonana manerana ny toeram-piasana, ny lohamilina, ny maha-izy azy, ny mailaka ary ny rahona; ny handrava no tanjona ny rojo fanafihana tsy ijerena na misy rakitra tafiditra na tsia.

Tondro azo ampiharina amin'ny fihazana fandrahonana

Raha tsy maintsy manao laharam-pahamehana amin'ny vinavina fikarohana ianao, dia mifantoha amin'ny fampifangaroana famantarana: dingana iray amin'ny birao izay manomboka mpandika teny miaraka amin'ny mari-pamantarana tsy mahazatra, Famoronana famandrihana WMI Aorian'ny fanokafana antontan-taratasy dia misy fanovana ny fanalahidin'ny fanombohana arahin'ny fifandraisana amin'ny sehatra tsy dia malaza.

Fomba mahomby iray hafa dia ny miantehitra amin'ny tsipika avy amin'ny tontolo iainanao: inona no mahazatra amin'ny mpizara sy toeram-piasanao? Izay fivilian-dàlana rehetra (miara-miombon'antoka vao nosoniavina miseho ho ray aman-drenin'ny mpandika teny, fiakarana tampoka eo amin'ny fampisehoana (amin'ny sora-baventy, tady baiko miaraka amin'ny obfuscation) mendrika ny fanadihadiana.

Farany, aza adino ny fitadidiana: raha manana fitaovana manara-maso ny faritra mihazakazaka ianao na maka sary, ny fikarohana ao amin'ny RAM Izy ireo dia mety ho porofo farany amin'ny hetsika tsy misy rakitra, indrindra rehefa tsy misy artifacts ao amin'ny rafi-drakitra.

Ny fampifangaroana ireo tetika sy teknika ary fanaraha-maso ireo dia tsy manafoana ny fandrahonana, fa mametraka anao amin'ny toerana tsara kokoa hahitana izany ara-potoana. tapaho ny rojo ary mampihena ny fiantraikany.

Rehefa ampiharina am-pahamarinana izany rehetra izany — telemétrie manankarena amin'ny endpoint, fifamatorana amin'ny fitondran-tena, valinteny mandeha ho azy, ary fanamafisam-peo mifantina — dia very ny tombontsoany ny tetika tsy misy rakitra. Ary na dia mbola hivoatra aza izany, ny fifantohana amin'ny fitondran-tena Tsy ao anaty rakitra izy io, fa manome fototra mafy orina ho an'ny fiarovanao mba hivoatra miaraka aminy.