Muhtasari Mkuu Kuanzisha uendelevu kwenye mfumo huruhusu muhusika tishio kuendelea kufikia au kutekeleza mchakato katika uanzishaji upya wa mfumo au mabadiliko mengine. Kwa sababu hii, ufuatiliaji na uchunguzi wa viashirio vya kudumu ni vipengele muhimu vya jukwaa lolote dhabiti la usalama wa mtandao. Mbinu mbili za kawaida za kudumu ni kutumia Utekelezaji wa AutoStart wa programu wakati wa kuwasha mfumo au logon (T1547) na kutumia vibaya kazi zilizopangwa (T1053). Hata hivyo, shughuli halali ya maombi pia mara kwa mara huhusisha Utekelezaji wa AutoStart na kazi zilizoratibiwa, kwa hivyo kulinda dhidi ya mbinu hizi hakuhitaji ufuatiliaji wa ugunduzi tu bali pia uchambuzi na mtaalamu wa usalama wa mtandao. Wakati wa tukio la hivi majuzi linalomhusisha mteja wa LevelBlue MDR SOC, kengele ambayo ililia kwa ufunguo wa usajili wa Windows Autorun kwa uendelevu ilifuatiliwa hadi kwenye programu inayoweza kutotakikana (PUA). Inasemekana kwamba PUA ilikuwa ikifanya kazi kama programu ya kubadilisha PDF. Ukaguzi wa kengele ya awali na matukio muhimu yalifichua kuwa programu ilikuwa imeanzisha safu mbili za ustahimilivu kwa kutumia uundaji wa Majukumu Iliyoratibiwa na vitufe vya Usajili vya Autorun ili kutekeleza JavaScript chini ya kivuli cha kiendelezi cha kivinjari cha Chrome. Zana za ziada za kijasusi za chanzo huria (OSINT) zilibainisha programu kuwa ama PUA au faili inayoweza kuwa mbaya. Uchunguzi uliundwa kwa mteja na mapendekezo ya urekebishaji na hatimaye ilithibitishwa kuwa maombi hayakutarajiwa wala kuidhinishwa ndani ya mazingira ya mteja, na iliondolewa. Programu kama hiyo iligunduliwa baadaye katika mazingira ya mteja mwingine, lakini katika kesi hii, mteja alikuwa ameongeza heshi ya faili inayohusiana kwenye orodha ya kutengwa. Kwa sababu mchambuzi wa LevelBlue MDR SOC alikuwa amechunguza ombi hilo hivi majuzi na kubainisha kuwa linaweza kuwa na nia mbaya, waliweza kupendekeza kuondoa hashi kwenye orodha ya kutengwa na badala yake kuiongeza kwenye orodha ya waliozuiwa. Uchunguzi Mapitio ya Kengele ya Awali Uchunguzi ulianza kwa mchambuzi wa LevelBlue kupokea kengele kwamba ufunguo wa usajili wa Windows Autorun unaoitwa “ChromeBrowserAutoLaunch” umeongezwa kwenye sehemu ya mwisho katika mazingira ya mteja. Ingawa kwa mtazamo wa kwanza hii ilionekana kuwa ufunguo uliowekwa wa kuzindua Chrome kiotomatiki na kiendelezi cha kivinjari kilichopakiwa, uchambuzi wa mstari wa amri ya mchakato wa chanzo ulifunua vipengee kadhaa ambavyo vilihitaji uchunguzi zaidi. Kielelezo 1: Kengele ya awali ya kuunda ufunguo wa usajili wa otomatiki Chaguo la “-no-no-start-window”: ingawa hii hutumiwa kwa madhumuni halali, inaweza pia kuonyesha jaribio la kuficha shughuli kutoka kwa mtumiaji wa mwisho. Njia ya kiendelezi kupakiwa ilionyesha kuwa haikuwa kiendelezi ambacho mtumiaji alikuwa amesakinisha kutoka kwa duka la wavuti la Chrome. Njia inayotarajiwa ya viendelezi kutoka kwa duka la tovuti itakuwa “C:\Users\”.\AppData\Local\Google\Chrome\User Data\Default\Extensions”. Ingawa kiendelezi kilichopakiwa kando bado kinaweza kuwa halali, hii ilitoa sababu ya ziada ya kutambua asili ya ufunguo wa usajili na kiendelezi. Hakuna kiendelezi cha kivinjari kinachoweza kuthibitishwa chenye jina “Extension Optimizer” kilichopatikana katika hoja za OSINT. Matumizi mabaya ya viendelezi vya kivinjari (T1176) ni mbinu inayojulikana na viendelezi hasidi vina historia ya kutumika kwa wizi wa habari, matangazo, na utekaji nyara wa kivinjari au tabia za kuelekeza kwingine. Utafutaji wa Matukio ya Uchunguzi Uliopanuliwa Mchambuzi alifanya utafutaji wa tukio ili kutambua asili ya kiendelezi cha kivinjari “ExtensionOptimizer”. Utafutaji huu ulirejesha matukio ya uundaji wa mchakato ambao ulifichua ufunguo wa usajili ulikuwa ukiongezwa na mchakato wa JavaScript wa node.exe unaotekelezwa kutoka kwa folda ya AppData inayoitwa “PDFFlex” katika njia ya “C:\Users\”.\AppData\Local\PDFFlex\node.exe”. Tukio la ziada liliwekwa wakati huo huo kuonyesha kuwa node.exe pia ilikuwa ikitumiwa kupakia kiendelezi kwa mikono. Kielelezo cha 2: Matukio yanayoonyesha asili ya funguo za usajili na upakiaji wa kiendelezi kwa mikono. Mchanganuzi alitafuta “PDFFlex” ili kuelewa ikiwa programu ilikuwa ya kawaida katika mazingira ya mteja na kupata vizalia vya ziada kuhusu asili au asili yake. Utafutaji ulibaini kuwepo kwa ombi hilo ni jambo lisilo la kawaida na pia kufichua matukio ambayo yanaweza kutumika kwa utafiti zaidi. Mchanganuzi alipata jina la faili la kisakinishi cha MSI cha programu, toleo na mchapishaji wa programu, na tukio lililoonyesha kuundwa kwa kazi iliyoratibiwa ya kila siku. Jukumu hili lilisanidiwa kutekeleza “node.exe update.js -check-update” kutoka kwa njia ile ile ya folda ya “PDFFlex” inayoonekana katika matukio ya kuunda sajili. Uchanganuzi zaidi ulionyesha kuwa jukumu hili lilikuwa na jukumu la kutekeleza mchakato uliokuwa ukiunda ufunguo wa usajili wa Autorun katika safu mbili dhahiri ya uendelevu iliyoanzishwa kwenye sehemu ya mwisho. Kielelezo 3: Jukumu lililoratibiwa lililoundwa ili kuongeza kila siku ufunguo wa usajili kila siku Mchoro 4: Tukio linaloonyesha jina la faili ya kisakinishi ya MSI ya programu inayopatikana kwenye folda ya upakuaji ya mtumiaji Mchoro 5: Tukio la usakinishaji linaloonyesha toleo na mchapishaji wa Tukio la “PDFFlex” la programu. Deep-Dive Kisha mchambuzi akafanya utafutaji kadhaa wa OSINT kwa kutumia taarifa iliyopatikana katika utafutaji wa matukio ili kuthibitisha kesi ya utumiaji na uwezekano. uhalali wa maombi. Hakuna taarifa inayoweza kuthibitishwa iliyopatikana ya faili ya MSI “FreePDF_49402039.msi” au mchapishaji PDFFlex.io. Mchambuzi huyo alitafuta Whois kwenye kikoa “pdfflex.io” na akagundua kuwa hakijasajiliwa. Utafutaji wa wavuti wa “PDFFlex 3.202.1208.0” ulileta uamuzi wa “shughuli hasidi” kutoka kwa zana ya sanduku la mchanga ANY.RUN, ambayo ilitoa faili ya SHA256 heshi ya 9c5d756045fd479a742b81241ccf439d02fc668581a3002913811a341278de43. Utafutaji wa heshi kwenye VirusTotal ulibaini kuwa ilikuwa imeripotiwa kuwa inaweza kuwa mbaya na wachuuzi wengi wa usalama, wakiwemo Sophos na Fortinet. Mchanganuzi alitumia Mwonekano wa Kina wa SentinelOne ili kuthibitisha kuwa heshi ya faili ya MSI kwenye sehemu ya mwisho ya mteja ililingana na heshi katika ripoti ya ANY.RUN. Wakati wa kengele, matukio hayakuwa yakianzishwa kwenye heshi. Zana ya SentinelOne pia ilionyesha kuwa faili ya MSI ilitiwa saini na “Eclipse Media Inc,” ambayo ilikuwa muhimu katika tukio la baadaye kwa mteja mwingine wa LevelBlue. Kielelezo cha 6: Utafutaji wa Kina Mwonekano katika SentinelOne inayoonyesha heshi ya faili ya faili ya MSI iliyopatikana kwenye Majibu ya mwisho Kujenga Uchunguzi Uchunguzi wa mchambuzi na utafiti wa OSINT ulirejesha pointi kadhaa ili kuashiria kwamba programu ya “PDFFlex” huenda haikuwa programu inayotarajiwa katika mazingira. : Uwepo wa programu kwenye sehemu ya mwisho ulikuwa wa ajabu kwa mazingira kwani matukio yake hayakuzingatiwa kwa vidokezo vingine. Programu ilikuwa imethibitisha kile kinachoonekana kuwa safu mbili za ustahimilivu kwa kutumia kazi iliyoratibiwa na ufunguo wa usajili wa autorun kuunda na kuzindua kiendelezi cha kivinjari ambacho hakijathibitishwa “ExtensionOptimizer.” Ripoti za OSINT za faili ya MSI zilionyesha tabia inayoweza kuwa mbaya. Kwa pamoja, pointi hizi za data zilionyesha kuwa programu haikutarajiwa wala kutarajiwa katika mazingira ya mteja na inaweza kuainishwa kama PUA/PUP, ikiwa si hasidi kabisa, na kwa hivyo inapaswa kuondolewa kwenye sehemu ya mwisho. Mwingiliano wa Wateja Mchanganuzi aliunda uchunguzi ambao ulieleza kwa kina matokeo kuhusu programu ya “PDFFlex,” kiendelezi cha kivinjari “ExtensionOptimizer,” tabia za kudumu zilizozingatiwa, na matokeo ya utafiti wa OSINT. Walipendekeza mteja abadilishe picha ya mwisho au aondoe folda za AppData zinazohusiana za “PDFFlex” na “ExtensionOptimizer” kazi zilizoratibiwa, na funguo za usajili zinazohusiana. Muda mfupi baada ya uchunguzi wa awali, LevelBlue MDR SOC ilitambua mwisho mwingine katika mazingira ya mteja ambao ulikuwa unaonyesha viashirio sawa vya uendelevu chini ya jina la maombi “PDFTool.” Mteja alithibitisha kuwa maombi hayajaidhinishwa na hatimaye kuchaguliwa ili kuondoa vidokezo kwenye huduma na kuzibadilisha. Ingawa faili ya MSI mwanzoni haikusababisha kengele, siku kadhaa baada ya uchunguzi, heshi yake iliongezwa kwenye orodha ya kuzuia ya kimataifa ya Wingu la SentinelOne na kuanza kuwasha kengele. Wakati wa kukagua mojawapo ya haya kwa mteja mwingine, mchambuzi wa LevelBlue aligundua kuwa mteja alikuwa ameongeza kutengwa kwa msingi wa heshi kwa faili ya MSI inayohusiana na pdf yenye heshi tofauti lakini pia iliyotiwa saini na “Eclipse Media Inc.” Mteja huyu alikuwa ameona tishio hilo hapo awali lakini aliongeza heshi kwenye orodha ya kutengwa katika SentinelOne kwa sababu hakuna ripoti mbaya zilizozingatiwa alipokuwa akitafiti faili kwa kutumia zana za OSINT. Maarifa ya timu ya LevelBlue kuhusu mtu aliyetia sahihi “Eclipse Media Inc” pamoja na uchanganuzi wao wa hivi majuzi wa ombi uliwaruhusu kumfahamisha mteja kuhusu hatari za programu. Kulingana na pendekezo la mchambuzi, uondoaji uliondolewa na hatua ya orodha ya zuio ya heshi mbadala iliongezwa badala yake. Hitimisho Tukio hili linaangazia sio tu hitaji la ufuatiliaji na tahadhari juu ya kazi iliyoratibiwa na uundaji wa ufunguo wa usajili wa Autorun lakini pia thamani ya kuwa na uchambuzi wa kitaalamu wa matukio haya. Katika uchunguzi huu, matumizi ya mchambuzi wa OSINT na zana za kuweka sandarusi kama vile ANY.RUN zilitoa muktadha muhimu unaohitajika ili kulinda mazingira ya mteja dhidi ya vitisho. Zaidi ya hayo, utafiti wa mchambuzi na ujuzi wa awali wa mtu aliyetia sahihi faili “Eclipse Media Inc” baadaye ulithibitisha kuwa muhimu katika kulinda mteja mwingine wa LevelBlue ambaye alikuwa ameunda kutengwa kwa kile ambacho huenda kilikuwa PUA sawa chini ya heshi tofauti ya faili.
Leave a Reply