Waa maxay ASR (dhimista dusha sare ee weerarka) sidee ayay u ilaalisaa qalabkaaga?

Markaad bilawdo inaad dhex gasho amniga Windows iyo wax kasta oo Microsoft Defender ay bixiso, ereyga ASR (dhimista dusha sare ee weerarka) Waxay u muuqataa mar iyo waqti mar kale. Taasina maaha wax dhacay: waxaanu ka hadlaynaa xeerar iyo farsamooyin ujeedadoodu tahay in la joojiyo weerarrada ka hor inta aanay xataa fursad u helin inay bilaabaan.

In macnaha guud ee hanjabaado sii adkaanayaMadax furashada, qoraalada qarsoon, xatooyada aqoonsiga, iyo weerarada aan fileyn, xeerarka ASR waxay noqdeen qayb muhiim ah oo ka mid ah difaaca ka hortagga. Dhibaatadu waxay tahay in badanaa loo arko wax "sixir ah" oo adag, marka dhab ahaantii ay leeyihiin caqli-gal cad oo cad haddii si degan loo sharaxo.

Waa maxay ASR (dhimista dusha sare ee weerarka) dhibkee ayay xalisaa?

Dhimista dusha sare ee weerarka, ama dhimista oogada weerarkaASR waa hab ku lug leh yaraynta dhammaan dhibcooyinka uu soo galo weeraryahanku, ku dhaqaaqo, ama ku fulin karo kood gudaha deegaanka. Xaaladda gaarka ah ee Microsoft, ASR waxaa lagu fuliyaa xeerar xakameynaya dabeecadaha dhamaadka khatarta sare leh: fulinta qoraalka, makrosyada xafiiska, hababka laga bilaabay darawallada USB, xadgudubka WMI, iwm.

Marka la eego la taaban karo, the Defender Microsoft ASR xeerarka dhamaadka Kuwani waa siyaasado sheegaya: "waxyaabo gaar ah oo ka mid ah kuwa caadiga ah furin Lama ogolaan doono, inkastoo codsiyada sharciga ah ay mararka qaarkood sameeyaan sidoo kale. Tusaale ahaan, Word kabaha PowerShell, kaas oo a script laga soo dejiyo intarneedka ayaa bilaaba hawl la fulin karo ama hal hab oo la isku dayo in kood kale lagu duro.

Fikradda hoose ayaa ah in la dhimo tirada waddooyinka uu weerarku qaadi karo si uu nidaamka wax u dhimo. Wadooyin yar oo la heli karo, bed ka yarTani waxay si fiican ugu habboon tahay qaabka Zero Trust: waxaan u qaadaneynaa in mar uun uu jiri doono jebin, sidaas darteed waxaan yareynaa "radius qaraxa" ee dhacdada intii suurtagal ah.

Waa muhiim in halkan lagu kala saaro laba fikradood oo inta badan isku dhafan: dhinac, ah yaraynta dusha weerarka sida istaraatiijiyad guud (ka saarista adeegyada aan loo baahnayn, xidhitaanka dekedaha, ka saarida software-ka aan xad lahayn, xaddidida ogolaanshaha, iwm.), iyo dhinaca kale, Difaaca Microsoft Xeerarka ASRkuwaas oo ah qayb-hoosaad gaar ah oo ka mid ah istaraatijiyadaas, oo diiradda lagu saaray dhammaadka barta iyo habdhaqanka software.

Dusha weerarka: jireed, dhijitaal, iyo aadanaha

Marka aan ka hadalno dusha weerar ee urur, waxaan u jeednaa dhammaan qodobbada uu weeraryahanku ku lug yeelan karoQalabka, codsiyada, adeegyada internetka, xisaabaadka isticmaalaha, API-yada, shabakadaha gudaha, daruuraha dibadda, iwm. Kaliya maaha arrin farsamo; Qaladka aadanaha ayaa sidoo kale soo gala ciyaarta.

Qaybta dhijitaalka ah waxaan ka heleynaa mareegaha, server-yada, databasedhamaadka, adeegyada daruuraha, iyo codsiyada ganacsigaAdeeg kasta oo si khaldan loo habeeyey, deked kasta oo aan loo baahnayn, codsi kasta oo software ah oo aan la xidhin wuxuu noqon karaa meel laga soo galo oo laga faa'iidaysto. Taasi waa sababta ay shirkado badani ugu tiirsan yihiin EASM (Maareynta Dusha Sare ee Weerarrada Dibadda) qalabka si otomaatig ah u sameeya helitaanka hantida bannaan iyo dayacanka.

Dusha sare ee jirka, kuwan soo socda ayaa ciyaaraya server-yada goobta ku yaal, goobaha shaqada, aaladaha shabakadaha, iyo terminaalkaHalkan, khatarta waxaa lagu yareeyaa kontaroolada gelitaanka jirka, kamaradaha, kaadhadhka, qufullada, rafaadka xiran, iyo hardware La xoojiyay Haddii qof uu ku geli karo xarunta xogta isagoo wata USB drive, dhib malahan sida ay u wanaagsan tahay siyaasaddaada ammaan.

Lugta saddexaad waa dusha sare ee la xidhiidha injineernimada bulshada iyo qodobka aadanahaiimaylada phishingka, wicitaanada beenta ah, websaydka godad biyoodka, ama khaladaadka shaqaalaha fudud ee horseeda soo dejinta waxyaabaha xaasidnimada leh. Taasi waa sababta dhimista dusha weerarku sidoo kale ku lug leedahay tababar iyo wacyigelin, ma aha oo kaliya tignoolajiyada.

ASR oo ah tiirka amniga ka hortagga iyo Aaminadda Zero

Qaabka Zero Trust waxaan u qaadaneynaa taas Shabakadda mar hore ayaa la jabiyay ama noqon doontaaWaxa aan hiigsanayna waa in aan ka hortagno in qofka wax weeraraya uu si fudud kor ugu kaco ama u helo mudnaanta. Xeerarka ASR waxay halkan si fiican ugu habboon yihiin sababtoo ah waxay hor istaagaan caqabadaha ugu badan ee weerarrada laga faa'iidaysto, gaar ahaan meesha ugu dambaysa.

Xeerarka ASR waxay khuseeyaan mabda'a ah mudnaanta ugu yar ayaa lagu dabaqay dhaqankaKaliya maaha waxa ogolaanshaha akoonku leeyahay, laakiin waa maxay ficilada uu samayn karo codsi gaar ah. Tusaale ahaan, Xafiisku wali wuu tafatiran karaa dukumeenti la'aan, laakiin hadda ma bilaabi karo hababka asalka ah ama ma abuuri karo wax-qabadyo saxanka si xor ah.

Noocan xakamaynta habdhaqanka ayaa si gaar ah uga soo horjeeda hanjabaadaha polymorphic iyo weeraro aan fileynIn kasta oo malware uu si joogto ah u beddelo saxeexiisa ama xashiishkiisa, haddana intooda badani waxay weli u baahan yihiin inay sameeyaan wax la mid ah: socodsiinta qoraallada, koodka ku duridda hababka, wax ka beddelka LSASS, ku xad-gudbida WMI, qor darawallada nugul, iwm. ASR waxay diiradda saartaa si sax ah qaababkan.

Intaa waxaa dheer, xeerarka waxaa lagu fulin karaa qaabab kala duwan: xannibista, xisaab-xidhka, ama digniintaTani waxay u ogolaanaysaa korsashada weji leh, laga bilaabo iyadoo la eegayo saameynteeda (qaabka hantidhawrka), ka dib ogeysiinta isticmaalaha (digniinta), iyo ugu dambeyntii u xannibaya si naxariis darro ah marka ka saarista la hagaajiyo.

Shuruudaha iyo nidaamyada hawlgalka ee ku habboon

Si aad uga faa'iidaysato xeerarka ASR ee Microsoft Defender, waa muhiim inaad yeelato aasaas adag. Ficil ahaan, waxaad u baahan tahay Microsoft Defender Antivirus waa inuu noqdaa fayraskaaga koowaad.ku shaqeeya firfircoon, aan ahayn dadban, hab, iyo ilaalinta wakhtiga-dhabta ah ee shid.

Xeerar badan, gaar ahaan kuwa aad u horumarsan, ayaa u baahan in la yeesho Ilaalinta Daruuruhu Bixisay Firfircoon iyo isku xidhka adeegyada daruuraha Microsoft. Tani waxay fure u tahay sifooyinka ku tiirsan sumcadda, baahsanaanta, ama heuristics ee daruuraha, sida "fuliyeyaasha aan buuxin baahsanaanta, da'da, ama shuruudaha liiska la aamini karo" ama qaanuunka "ilaalinta sare ee ransomware".

Inkasta oo xeerarka ASR aanay si adag ugu baahnayn shati Microsoft 365 E5, waa Haysashada E5 ama shatiyo u dhigma ayaa aad loogu talinayaa. Haddii aad rabto in aad yeelato maamulka sare, la socodka, falanqaynta, warbixinta, iyo awoodaha socodka shaqada ee lagu dhex daray Microsoft Defender for Endpoint iyo Xariirka Difaacaha Microsoft XDR.

Haddii aad la shaqaynayso shatiyada sida Windows Professional ama Microsoft 365 E3 la'aanteed sifooyinkaas horumarsan, waxaad weli isticmaali kartaa ASR, laakiin waa inaad wax badan ku tiirsan tahay. Daawade dhacdo, Microsoft Defender Antivirus diiwaanka, iyo xalalka lahaanshaha la socodka iyo ka warbixinta ( gudbinta dhacdada, SIEM, iwm.). Xaaladaha oo dhan, waa lagama maarmaan in dib loo eego liiska nidaamyada hawlgalka taageeraysababtoo ah sharciyada kala duwan ayaa leh shuruudaha ugu yar ee Windows 10/11 iyo noocyada serverka.

Hababka qaanuunka ASR iyo qiimaynta hore

Xeer kasta oo ASR ah waxaa lagu habeyn karaa afar gobol: aan la habayn/naafo, xannibin, xisaabin, ama digniinGoboladan waxa kale oo lagu matalay kood lambar (0, 1, 2 iyo 6 siday u kala horreeyaan) kuwaas oo lagu isticmaalo GPO, MDM, Intune iyo PowerShell.

Qaabka Xayiraad Dhaqdhaqaaqa xeerka oo si toos ah u joojiya dabeecadda laga shakiyo. Habka Hantidhawrka Waxay diiwaan gelisaa dhacdooyinka la xannibi lahaa, laakiin u oggolow ficilku inuu sii socdo, oo kuu oggolaanaya inaad qiimeyso saamaynta codsiyada ganacsiga ka hor inta aanad adkayn ammaanka.

Qaabka Digniin (Digniin) waa nooc ka mid ah dhulka dhexe: qaanuunku wuxuu u dhaqmaa sida xeer xannibaya, laakiin isticmaaluhu wuxuu arkaa sanduuqa wada-hadalka oo muujinaya in nuxurka la xannibay oo la siiyay ikhtiyaarka si ku meel gaar ah u fur 24 saacadoodMuddadaas ka dib, isla qaabkii ayaa mar kale xannibmi doona ilaa isticmaaluhu u ogolaado mar kale.

Habka digniinta waxa kaliya oo laga taageeraa Windows 10 nooca 1809 (RS5) iyo wixii ka dambeeyaNoocyadii hore, haddii aad u dejisay qaanuunka qaabka digniinta, waxay dhab ahaantii u dhaqmi doontaa sidii xeer xannibaad ah. Intaa waxaa dheer, qaar ka mid ah sharciyada gaarka ah ma taageeraan habka digniinta marka lagu habeeyo iyada oo loo marayo Intune (in kasta oo ay ku sameeyaan Siyaasadda Kooxda).

Kahor inta aan la gaarin meesha lagu xiro, waxaa si adag loogu talinayaa in la isticmaalo qaabka hantidhawrka oo aad ku tiirsanaato Maareynta Nuglaanta Difaaca MicrosoftHalkan waxaad ku arki kartaa saamaynta la filayo ee sharci kasta (boqolkiiba aaladaha ay saameeyeen, saamaynta suurtagalka ah ee isticmaalayaasha, iwm.). Iyada oo ku saleysan xogta hantidhawrka, waxaad go'aansan kartaa xeerarka aad ku hawlgelinayso habka xannibaadda, kooxaha duuliyayaasha, iyo waxa ka-reebitaanka aad u baahan tahay.

Xeerarka ASR nooca: xeerarka ilaalinta caadiga ah iyo xeerarka kale

Microsoft waxay xeerarka ASR u kala saartaa laba kooxood: dhinac, xeerarka ilaalinta caadiga ahKuwani waa kuwa had iyo jeer lagu taliyay in la dhaqaajiyo sababtoo ah saameyn aad u yar ayay ku leeyihiin isticmaalka, iyo dhinaca kale, sharciyada intiisa kale ee badanaa u baahan marxalad tijaabo ah oo taxadar leh.

Ka mid ah xeerarka ilaalinta caadiga ah, kuwan soo socda ayaa taagan, tusaale ahaan: "Ka jooji xadgudubka kantaroolayaasha saxeexan ee la isticmaalay", "Ka ilaali xatooyada aqoonsiga ee nidaamka hoose ee maamulka amniga deegaanka (lsass.exe)" o "Ka jooji joogteynta iyada oo loo marayo isdiiwaangelinta dhacdada WMI"Kuwani waxay si toos ah farta ugu fiiqayaan farsamooyinka caadiga ah ee kor u qaadista mudnaanta, ka baxsiga difaaca, iyo adkaysiga.

Xeerarka soo haray, iyagoo aad u awood badan, waxay u badan tahay inay ka hor yimaadaan codsiyada ganacsiga ee si weyn u isticmaala qoraallada, macros, hababka carruurta, ama qalabka maamulka fog. Tan waxaa ku jira dhammaan kuwa saameeya Xafiiska, Adobe Reader, PSExec, WMI fog, qoraalada qarsoon, fulinta USB, WebShells, IWM

Xeer kasta, Microsoft dukumeenti a Magaca qarsoon, magaca suurtagalka ah ee Maamulaha Isku xidhka, GUID gaar ah, ku tiirsanaanta (AMSI, Ilaalinta Cloud, RPC…) iyo noocyada dhacdooyinka lagu abuuray raadinta horumarsan (tusaale ahaan, AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditediwm.). GUID-yadani waa kuwa aad u baahan doonto inaad ku isticmaasho GPO, MDM, iyo PowerShell si aad awood ugu yeelato, u joojiso, ama u beddesho qaabka.

Sharaxaad faahfaahsan oo ku saabsan xeerarka ASR ee ugu muhiimsan

Xeerarka ASR waxay daboolayaan tiro aad u ballaaran weerarradaHoos waxaa ku qoran soo koobidda kuwa ugu habboon iyo waxa dhabta ah ee mid kastaa xannibo, oo ku salaysan tixraacyo rasmi ah iyo khibrad wax ku ool ah.

Jooji xadgudubka darawallada nugul, ee la isticmaalo ee saxeexan

Xeerkani wuxuu diidayaa codsiga leh mudnaan ku filan ku qor saxanka saxeexan laakiin darawallada nugul in weeraryahannadu markaas rari karaan si ay u galaan kernel-ka oo ay joojiyaan ama u dhaafaan xalalka amniga. Ma xannibayso rarka darawallada nugul ee horeba u jiray, laakiin waxay gooysaa mid ka mid ah siyaabaha caadiga ah ee lagu baro.

Waxaa aqoonsaday GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 wuxuuna abuuraa dhacdooyin noocaan ah AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked ee raadinta horumarsan ee Difaaca Microsoft.

Ka ilaali Adobe Reader abuurista hababka ilmaha

Ujeedada xeerkan waa in laga hortago Adobe Reader waxa ay u adeegtaa sidii boodh si aad u soo dejiso oo aad u bilowdo culaysyada. Waxay xannibaysaa abuurista hababka labaad ee Akhristaha, ka ilaalinta ka faa'iidaysiga PDF iyo farsamooyinka injineernimada bulshada ee ku tiirsan daawadayaashan.

GUID kaaga waa 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2coo dhalin kara dhacdooyin AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedWaxay kuxirantahay Microsoft Defender Antivirus inuu shaqeeyo.

Ka ilaali dhammaan codsiyada Xafiiska inay abuuraan hababka carruurta

Xeerkani wuxuu mamnuucayaa Word, Excel, PowerPoint, OneNote, iyo Helitaanka dhalin habab sareWaa dariiq toos ah oo lagu joojinayo weerarro badan oo ku salaysan macro oo ay bilowday PowerShell. CMD ama aaladaha kale ee nidaamka si loo fuliyo kood xaasidnimo ah.

GUID laxiriira waa d4f940ab-401b-4efc-aadc-ad5f3c50688aXaaladaha dhabta ah ee aduunka, qaar ka mid ah codsiyada ganacsiga ee sharciga ah ayaa sidoo kale isticmaala qaabkan (tusaale, si loo furo amar degdeg ah ama ku dabaq isbedelada Diiwaanka), markaa waa lama huraan in marka hore lagu tijaabiyo qaabka hanti dhawrka.

Jooji xatooyada aqoonsiga LSASS

Xeerkani wuxuu ilaalinayaa habka lsass.exe ka dhanka ah gelitaanka aan la ogalayn ee hababka kale, yaraynta dusha weerarka ee qalabka sida Mimikatz, kuwaas oo isku dayaya inay soo saaraan xashiishyada, ereyada sirta ah, ama tigidhada Kerberos.

Wuxuu la wadaagaa falsafada Ilaalada Aqoonsiga Difaaca MicrosoftHaddii aad hore u leedahay Ilaaliyaha Aqoonsiga, sharcigu wax yar ayuu ku darayaa, laakiin aad bay faa'iido ugu leedahay deegaannada aanad awood u yeelan karin sababtoo ah isqabsi la'aanta darawallada ama software dhinac saddexaad. GUID kaaga waa 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Ka jooji macluumaadka la fulin karo ee macaamiisha iimaylka iyo fariimaha shabakada

Halkan waxaan ku galeynaa xeer aad u waafaqsan weerarada phishingka. Waxa ay ka hortagto... fulinta, qoraallada, iyo faylasha la cufan ee lagala soo baxay ama lagu lifaaqay iimaylka iyo macaamiisha webmailka si toos ah u orda. Waxay khuseeysaa ugu horrayn Outlook, Outlook.com, iyo bixiyeyaasha webmailka caanka ah, waxayna si gaar ah faa'iido u leedahay marka lagu daro ilaalinta iimaylka kale iyo goobaha browser ammaan ah.

GUID kaaga waa be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 wuxuuna abuuraa dhacdooyin ay ka mid yihiin AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedWaxay si gaar ah faa'iido u leedahay marka lagu daro ilaalinta iimaylka kale.

Ka ilaali kuwa fulin kara inay ordaan hadday buuxin waayaan baahsanaanta, da'da, ama shuruudaha liiska aaminaadda.

Xeerkani wuxuu xannibayaa fulinta binaries (.exe, .dll, .scr, iwm.) ma aha kuwo badan oo ku filan, da' weyn, ama la isku halleyn karo Marka loo eego xogta sumcadda daruuriga ah ee Microsoft, aad bay uga awood badan tahay malware-ka cusub, laakiin waxay noqon kartaa mid u nuglaadaan deegaan badan oo guriga dhexdiisa ah ama software aan caadi ahayn.

GUID waa 01443614-cd74-433a-b99e-2ecdc07bfc25 Waxayna si cad ugu xidhan tahay Ilaalinta Cloud. Mar labaad, waa kiis cad oo qaanuunka ah in ay ugu wanaagsan tahay in lagu bilaabo habka xisaabinta ka dibna si tartiib tartiib ah u hirgeliso xannibaadda.

Jooji fulinta qoraallada qarsoon ee suurtagalka ah

Koodhka qarsoon ayaa caadi u ah labada weeraryahan iyo, mararka qaarkood, horumariyayaal sharci ah. Xeerkani wuxuu falanqeynayaa Tilmaamaha laga shakiyo ee ku jira PowerShell, VBScript, JavaScript, ama qoraallada makro ee qarsoon wuxuuna xannibaa kuwa ixtimaalka sare leh ee xaasidnimada.

GUID kaaga waa 5beb7efe-fd9a-4556-801d-275e5ffc04cc Waxay isticmaashaa AMSI (Antimalware Scan Interface) iyo ilaalinta daruuraha si ay go'aankeeda u gaadho. Tani waa mid ka mid ah xeerarka ugu waxtarka badan ee ka dhanka ah ololayaasha qoraalka casriga ah.

Ka ilaali JavaScript ama VBScript inay bilaabaan fulinta la soo dejiyey

Xeerkani wuxuu diiradda saarayaa qaabka soo dejinta ee caadiga ah: a Qoraal ku jira JS ama VBS wuxuu soo dejiyaa faylka binary ee intarneedka oo uu fuliyo.Waxa ASR ay halkan ku qabato ayaa ka hortagaysa tallaabadaas saxda ah ee bilaabista la soo dejisan karo.

GUID kaaga waa d3e037e1-3eb8-44c8-a917-57927947596dWaxay sidoo kale ku tiirsan tahay AMSI waxayna si gaar ah muhiim ugu tahay xaaladaha halka tignoolajiyada hore ama qoraallada weli lagu isticmaalo browserka ama desktop-ka.

Ka ilaali codsiyada Xafiiska inay abuuraan waxyaabo la fulin karo

Farsamo kale oo caadi ah ayaa ah in loo isticmaalo Xafiiska ku qor qaybo xaasidnimo ah saxanka taas oo sii socota ka dib dib u bilaabashada (tusaale ahaan, fulin joogto ah ama DLL). Xeerkani wuxuu ka hortagayaa Xafiiska inuu kaydiyo ama galo nooca nuxurka la fulin karo si loo bilaabo.

GUID waa 3b576869-a4ec-4529-8536-b80a7769e899 Waxay ku tiirsan tahay Microsoft Defender Antivirus iyo RPC. Aad bay wax ku ool u tahay jebinta silsiladaha caabuqa ku salaysan ee makro-ku-salaysan ee soo dejisanaya culaysyo joogto ah.

Ka ilaali codsiyada Xafiiska inay geliyaan koodka hababka kale

Tani waxay ka hortagtaa Xafiiska isticmaalka farsamooyinka habka duritaankaTani waxay ku lug leedahay in kood lagu duro habab kale si loo qariyo hawsha xaasidnimada ah. Microsoft kama warqabto ganacsi kasta oo sharci ah oo qaabkan loo isticmaalo, marka waa sharci badbaado leh oo awood u leh inta badan deegaanka.

GUID kaaga waa 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Si kastaba ha ahaatee, codsiyo gaar ah oo ka soo horjeeda sharcigan ayaa la diiwaangeliyay, markaa haddii buuqu ka soo baxo deegaanka, waxaa lagu talinayaa in la hubiyo waafaqsanaanta.

Ka ilaali codsiyada isgaadhsiinta ee xafiiska abuurista hababka ilmaha

Asal ahaan loogu talagalay Outlook iyo alaabada kale ee isgaarsiinta ee Xafiiska, sharcigani wuxuu xannibayaa abuurista hababka labaad ee macmiilka iimaylkayaraynta weerarrada ka faa'iidaysanaya dayacanka sharciyada Outlook, foomamka, ama iimaylada xaasidnimada leh si loo fuliyo koodka.

GUID kaaga waa 26190899-1602-49e8-8b27-eb1d0a1ce869 waxayna ka caawisaa in la xidho vector aad u soo jiidasho leh ololaha phishing-ka ee la beegsaday.

Jooji ku-noqoshada iyada oo loo marayo isdiiwaangelinta dhacdada WMI

Hanjabaado badan oo "faylal la'aan ah" ayaa ku tiirsan WMI si loo gaaro adkaysi adoon ka tagin raad cad oo saxan ah. Xeerkani waxa uu xannibayaa abuurista is-diiwaangelinta dhacdada WMI ee xaasidnimada leh oo dib u bilaabi karta koodka mar kasta oo shuruud la buuxiyo.

GUID kaaga waa e6db77e5-3df2-4cf1-b95a-636979351e5b mana ogola ka saarida faylalka ama galalka, si sax ah si looga hortago in lagu xadgudbo.

Nidaamyada xannibista ee laga sameeyay amarada PSExec iyo WMI

PsExec iyo WMI waa qalab maamulka fog oo sharci ah, laakiin sidoo kale si joogto ah ayaa loo isticmaalaa dhaqdhaqaaqa lateral iyo faafinta malwareXeerkani wuxuu ka hortagayaa hababka ka soo jeeda amarada PSExec ama WMI waa la fuliyaa, taasoo hoos u dhigaysa vectorkaas.

GUID waa d1e49aac-8f56-4280-b9ba-993a6d77406cWaa mid ka mid ah xeerarkaas halka isuduwidda maamulayaasha iyo kooxaha hawlgallada ay fure u tahay in laga fogaado carqaladaynta hababka maaraynta fog ee sharciga ah.

Xir dib-u-bilaabista qaabka nabdoon ee ay bilaabeen amarada

En hab nabdoonXalal badan oo amniga ah ayaa naafo ah ama aad u xaddidan. Qaar ka mid ah amarrada xadgudubka ransomware sida bcdedit ama bootcfg si dib loogu bilaabo qaab nabdoon oo sir la'aan iska caabin badan. Xeerkani wuxuu meesha ka saarayaa suurtogalnimadaas, taasoo u oggolaanaysa in la sii wado helitaanka hab nabdoon oo keliya iyada oo loo marayo deegaanka soo kabashada gacanta.

GUID kaaga waa 33ddedf1-c6e0-47cb-833e-de6133960387 wuxuuna abuuraa dhacdooyin ay ka mid yihiin AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Ka xidho hababka aan la saxeexin ama aan la aamini karin ee USB

Halkan, dariiqa gelitaanka caadiga ah ayaa la xakameynayaa: Wadayaasha USB iyo kaararka SDXeerkan, kuwa aan saxeexin ama aan la aamini karin ee ka socda warbaahintan waa la xannibay. Tani waxay khusaysaa binaries sida .exe, .dll, .scr, iwm.

GUID waa b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 waxayna si gaar ah faa'iido u leedahay meelaha ay ka jirto khatarta isticmaalka USB aan la koontaroolin.

Jooji isticmaalka qalabka nidaamka la koobiyay ama la shubay

Weeraro badan ayaa isku daya inay koobiyaan ama ku daydaan Qalabka nidaamka Windows (sida cmd.exe, powershell.exe, regsvr32.exe, iwm.) si loo sawiro habab sharci ah. Xeerkani wuxuu xannibayaa fulinta fulinta ee loo aqoonsaday inay yihiin nuqullo ama been-abuurayaal qalabkan ah.

GUID kaaga waa c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb waxayna soo saartaa dhacdooyin ay ka mid yihiin AsrAbusedSystemToolBlockedWaxay si fiican u buuxinaysaa farsamooyinka kale ee xakamaynta codsiga.

Jooji abuurista WebShell ee server-yada

WebShells waa qoraallo si gaar ah loogu talagalay si loo siiyo qofka wax weeraraya koontaroolka fog ee serverkau ogolaanaya in ay fuliso amarada, upload files, exfiltrate xogta, iwm. Xeerkan, loogu talagalay server-yada iyo doorarka sida Exchange, blocks abuurista qoraallada xaasidnimo ah.

GUID waa a8f5898e-1dc8-49a9-9878-85004b8a61e6 waxaana loogu talagalay in si gaar ah loo adkeeyo server-yada qarsoon.

Jooji wicida Win32 API ee macros Office

Malaha waa mid ka mid ah xeerarka ugu waxtarka badan ee ka soo horjeeda macro malwareWaxay xannibaysaa koodka Xafiiska VBA soo dejinta iyo wacitaanka Win32 APIs, kaas oo inta badan loo isticmaalo in lagu shubo koodka sheyga xusuusta, habraacida hababka, helitaanka xusuusta, iwm.

GUID kaaga waa 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b waxayna ku tiirsan tahay AMSI. Ficil ahaan, waxa ay soo jiidanaysaa habab badan oo malware ah oo ku jira Word iyo Excel kuwaas oo ku tiirsan wicitaanadaas si ay u fuliyaan kood aan sabab lahayn.

Isticmaalka ilaalinta sare ee ransomware

Xeerkani wuxuu ku darayaa lakab dheeraad ah oo ilaalin ah oo ku salaysan macaamiisha iyo Cloud heuristics si loo ogaado dabeecadda la socota ransomware. Waxay tixgalinaysaa arrimaha sida sumcadda, saxeexa dhijitaalka ah, ama baahsanaanta si loo go'aamiyo in faylku u badan yahay inuu noqdo ransomware marka loo eego barnaamijka sharciga ah.

GUID kaaga waa c1db55ab-c21a-4637-bb3f-a12568109d35In kasta oo ay isku daydo inay yarayso wanaagga beenta ah, waxay u janjeertaa inay ka qaldato dhinaca taxaddarka si aanay u seegin kaydka dhabta ah.

Hababka isku xidhka: Intune, MDM, Maareeyaha Isku xidhka, GPO, iyo PowerShell

Xeerarka dhimista dusha weerarka waxaa loo habeyn karaa siyaabo dhowr ah iyadoo ku xiran sida aad u maamusho qalabkaaga. Talada guud ee Microsoft waa in la isticmaalo goobaha maaraynta heerka ganacsiga (Intune ama Maamulaha Isku xidhka), maadaama siyaasadoodu ay ka hormarinayaan GPO ama qaabaynta PowerShell maxalliga ah marka nidaamku bilowdo.

cunt Microsoft Intune Waxaad haysataa saddex hab: siyaasadda ammaanka barta-dhamaadka ee ASR-ga, habaynta aaladaha profiles (Ilaalinta Dhamaadka), iyo astaanta gaarka ah ee la isticmaalayo OMA-URI si loo qeexo xeerarka GUID iyo gobolka. Xaaladaha oo dhan, waxaad si toos ah ugu dari kartaa fayl iyo galka ka saarida ama waxaad ka soo dejin kartaa faylka CSV.

Deegaannada MDM-yada guud CSP ayaa la isticmaalaa ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Si loo qeexo GUID-yo kala duwan oo leh heerar, oo ay kala soocaan baararka toosan. Tusaale ahaan, waxaad isku dari kartaa xeerar dhowr ah adiga oo ku meeleeya 0, 1, 2, ama 6 iyadoo ku xiran haddii aad rabto inaad gabto, xannibto, xisaabiso, ama aad u digto. Ka saarida waxaa lagu maamulaa CSP. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

cunt Maamulaha Isku xidhka Microsoft Waxaad u abuuri kartaa siyaasado Windows Defender Ka faa'ideysiga Guard wuxuu diiradda saaray "Yareeynta dusha sare ee weerarka", dooro sharciyada aad rabto inaad xannibto ama xisaabiso oo u dir qalabyada gaarka ah.

La Siyaasadda kooxda Waxay kuu ogolaaneysaa inaad ku habeyso ASR adigoo isticmaalaya qaabab maamul adoo u socdaalaya Microsoft Defender Antivirus iyo "Dib u Dhimista Dusha Weerar". Halkaa, waxaad awood u siinaysaa siyaasadda "U-habee xeerarka dhimista dusha sare ee weerarka" oo geli GUID-yada heerka u dhigma. GPO dheeraad ah ayaa kuu ogolaanaysa inaad qeexdo faylka iyo dariiqa ka saarida.

Ugu dambeyntii PowerShell Waa habka ugu tooska ah uguna faa'iido badan ee imtixaannada hal mar ah ama qoraallada otomaatiga ah. Cmdlets sida Set-MpPreference y Add-MpPreference Waxay kuu oggolaanayaan inaad awood u yeelatid, xisaabin, ka digto, ama aad baabi'iso sharciyada gaarka ah, iyo sidoo kale inaad ku maamusho liiska ka saarida -AttackSurfaceReductionOnlyExclusionsSi kastaba ha ahaatee, haddii uu jiro GPO ama Intune ku lug leh, habayntooda ayaa mudnaanta leh.

Ka-reebitaanka, khilaafyada siyaasadda, iyo ogeysiisyada

Ku dhawaad ​​dhammaan xeerarka ASR waa ogol yihiin ka saar faylasha iyo faylalka Tani waxay ka hortagtaa xannibaadda codsiyada sharciga ah, kuwaas oo, naqshad ahaan, muujiya dabeecad u eg malware. Waa qalab awood leh, laakiin waa in loo isticmaalo si sax ah qaliinka: ka saarida aadka u ballaaran waxay ka tagi kartaa dayacanka halista ah.

Marka siyaasadaha iska soo horjeeda laga dabaqo MDM iyo Intune, qaabeynta Awaamiirta kooxdu waxay mudnaan siinaysaa Hadii ay jirto. Intaa waxaa dheer, qawaaniinta ASR waxay taageerayaan habdhaqanka isku-dhafka siyaasadda: superset-ka waxaa lagu dhisay qaabaynta aan is-khilaafsanayn, iyo gelisyada is khilaafaya waa laga saaray qalabkaas.

Mar kasta oo qaanuunku kaco qaabka xannibaadda, isticmaaluhu wuxuu arkaa a ogaysiinta nidaamka isagoo ku micneeyay in howlgal loo xiray sababo amni. Ogeysiisyadan waxaa lagu habeyn karaa faahfaahinta shirkadda iyo macluumaadka xiriirka. Xeerarka iyo xaaladaha qaarkood, digniinaha EDR iyo ogeysiisyada gudaha ayaa sidoo kale la soo saaray oo laga dhex arki karaa bogga Difaaca Microsoft.

Xeerarka oo dhami ma ixtiraamaan Difaacayaasha Microsoft ka-reebista Mana tixgaliyaan tilmaamayaasha tanaasulka (IOCs) ee lagu habeeyey Difaacaha Dhammaadka. Tusaale ahaan, qaanuunka xannibaadda aqoonsiga xatooyada aqoonsiga LSASS ama xeerka xidhidhiyaha koodka xafiiska ma xisaabtamaan IOC-yada qaarkood, si sax ah si loo ilaaliyo adkaysigooda.

Kormeerka Dhacdada ASR: Xariirka, Goobid Sare, iyo Daawade Dhacdada

La socodka ayaa fure u ah in la hubiyo in ASR aanu ahayn sanduuq madow. Daafaca Endpoint ayaa bixiya warbixin faahfaahsan oo ku saabsan dhacdooyinka iyo xannibaadaha laxidhiidha xeerarka ASR, kuwaas oo lagala tashan karo labadaba bogga difaaca Microsoft XDR iyo iyada oo loo marayo raadinta horumarsan.

Raadinta horumarsan waxay kuu ogolaaneysaa inaad bilowdo weydiin ku saabsan miiska DeviceEventsshaandhaynta noocyada fal ee ka bilaabma "Asr". Tusaale ahaan, weydiinta aasaasiga ah DeviceEvents | where ActionType startswith 'Asr' Waxay ku tusinaysaa dhacdooyinka ASR-ku-xiran ee loo qaybiyay hab-raac iyo saacad, maadaama ay caadi tahay hal tusaale saacaddii si loo yareeyo mugga.

Deegaannada aan lahayn E5 ama aan la helin awoodahaas, waxaa had iyo jeer jira ikhtiyaarka dib u eegista Daaqadaha waxa ay galiyaan Viewer EventMicrosoft waxay bixisaa aragtiyo gaar ah (sida faylka cfa-events.xml) kuwaas oo shaandheeya dhacdooyinka khuseeya, oo wata aqoonsiyaal sida 5007 (isbeddel qaabaynta), 1121 (xeerka xannibaadda) iyo 1122 (xeerka qaabka hanti dhawrka).

Hawlgelinta isku-dhafka ah, waa wax caadi ah in dhacdooyinkan loo gudbiyo a SIEM ama madal jaridda dhexe ee dhexe, isku xidh iyaga iyo tilmaamayaasha kale oo kiciyaan digniinaha caadada ah marka sharciyada qaarkood bilaabaan inay abuuraan dhacdooyin badan oo qayb gaar ah oo shabakada ah.

Yaraynta dusha weerarka ee ka baxsan ASR: xeeladaha, tignoolajiyada iyo caqabadaha

Inkasta oo xeerarka ASR ay yihiin qayb aad muhiim u ah, hoos u dhigista dusha sare ee weerarka sida istaraatiijiyad caalami ah oo aad uga fog meesha ugu dambeysa. Waxay ku lug leedahay khariidad dhammaan hantida iyo meelaha laga soo galoTirtir adeegyada aan loo baahnayn, shabakadaha qaybaha, adeegso kontaroolada gelitaanka adag, nidaamyada adkee, ilaali qaabaynta sugan, oo ilaali daruuraha iyo API-yada.

Ururadu caadi ahaan waxay ku bilowdaan alaab dhamaystiran qalabka, software, xisaabaadka iyo isku xirkaMarka xigta, adeegyada iyo codsiyada aan la isticmaalin ayaa la aqoonsadaa oo laga saarayaa, dekedihii shabakadu waa xidhmeen, iyo sifooyinka aan wax ku kordhinayn waa la naafo. Tani waxay fududaynaysaa deegaanka waxayna yaraynaysaa tirada "albaabada" ee u baahan la socodka.

Qaybta xakamaynta xariirka Waa muhiim: adeegsiga mabda'a mudnaanta ugu yar, furaha sirta ah ee xooggan, xaqiijinta arrimo badan, ka noqoshada degdegga ah ee gelitaanka marka qof beddelo doorarka ama ka tago ururka, iyo la socodka isku dayga gelitaanka ee shakiga leh.

Daruuraha dhexdiisa, dusha weerarku waxay la koraan adeeg kasta, API, ama is dhexgalka. Habaynta khaldan ee gudaha kaydintaDoorarka aadka u ballaadhan, xisaabaadka agoonta, ama qiyamka aasaasiga ah ee aan sugnayn waa dhibaatooyin caadi ah. Tani waa halka xisaabinta qaabeynta caadiga ah, sirta xogta ee nasashada iyo safarka, kala qaybsanaanta shabakada farsamada, iyo dib u eegista ogolaanshaha joogtada ah ay ka ciyaaraan.

Si loo taageero waxaas oo dhan, tignoolajiyada sida agabka daahfurka hantida iyo khariidaynta, iskaanadaha nuglaanshaha, nidaamyada xakamaynta gelitaanka, goobaha maaraynta qaabaynta, iyo agabka amniga shabakada (dab-damiska, IDS/IPS, NDR, iwm.). Xalka sida SentinelOne, tusaale ahaan, waxay isku daraan ilaalinta barta dhamaadka, falanqaynta habdhaqanka, iyo jawaab celinta tooska ah si loo sii yareeyo dusha sare ee weerarka.

Caqabaduhu waa badan yihiin: ku tiirsanaanta adag ee nidaamyadaJoogitaanka codsiyada dhaxalka ah ee aan taageerin tillaabooyinka casriga ah, xawaaraha degdega ah ee isbeddelka tignoolajiyada, xaddidnaanta kheyraadka, iyo iskahorimaadka joogtada ah ee u dhexeeya amniga iyo wax soo saarka ayaa dhammaantood gacan ka geysta caqabadan. Helitaanka dheelitirka saxda ah waxay u baahan tahay faham qoto dheer oo ku saabsan ganacsiga iyo kala hormarinta hantida muhiimka ah iyo hababka.

Marka la eego macnaha guud, xeerarka ASR waxay noqonayaan mid ka mid ah aaladaha ugu waxtarka badan ee lagu xaddidayo goobta uu weerarka ku ciyaaro ee barta ugu dambeysa. Si wanaagsan loo qorsheeyay (laga bilaabo xisaabinta), si fiican loo habeeyey oo leh ka-saarid sax ah, oo si taxadar leh loo kormeero, waxay ka hortagaan khalad isticmaale, hal ka faa'iidaysi, ama darawal USB xaasidnimo ah inuu si toos ah ugu kordho dhacdo halis ah, caawinta in la joogteeyo mid yar, oo la maarayn karo, iyo, dhammaan ka sarreeya, dusha weerar ee waxtarka leh. aad u adag in laga faa'iidaysto.