تشخیص Hidden Windows توسط رول تشخیص اسپلانک

0 68

ممکن است مهاجمین از ویندوز مخفی (Hidden windows) برای پنهان کردن فعالیت های مخرب از دید کاربران استفاده کنند. در بعضی موارد، پنجره ای  که معمولا هنگام اجرای عملکرد برنامه ی کاربردی نمایش داده می شود می تواند مخفی باشد. این ممکن است توسط مدیران سیستم برای جلوگیری از ایجاد اختلال در محیط کاری کاربر هنگام انجام دادن کارهای اداری مورد استفاده قرار گیرد. ممکن است مهاجمین از عملکرد سیستم عامل سواستفاده کنند، به عنوان مثال پنجره ی  قابل مشاهده را از کاربران مخفی کنند تا این که نتواند کاربر را از فعالیت مهاجم در سیستم مطلع کند.

Windows

در زبان اسکریپت نویسی ویندوز ویژگی های متعددی از جمله powershell ،J script,  VBscript برای مخفی کردن پنجره ها وجود دارد .

به عنوان مثال powershell.exe-Windows Style Hidden 

Mac

تنظیمات مربوط به نحوه ی اجرای برنامه های کاربردی در mac OS در فایل های لیست ویژگی (plist ) لیست شده اند. یکی از برچسب ها (tag) در این فایل ها  apple.awt.UIElement می باشد که برنامه های کاربردی جاوا اجازه میدهد تا مانع از نمایش دادن آیکون برنامه کاربردی در Dock شوند. یک کاربرد متداول برای این مورد هنگامی است که برنامه های کاربردی در system tray اجرا می شوند اما نمی خواهند در Dock نمایش داده شوند. اگرچه مهاجمین می توانند از این ویژگی سواستفاده کنند و پنجره ی  در حال اجرا را پنهان کنند .

ID:T1564.003

Tactic:Defense Evasion

Platform:macOS

Permission Required:user 

Data source:windows event logs ,powershell logs ,process command-line parameters ,Process monitoring ,File monitoring 

مثال هایی از روش ها

APT 19 : APT 19 برای پنهان کردن ویندوز پاورشل با تنظیم کردن پارامتر Window Style  بر روی hidden از ویندوز مخفی  (W hidden) استفاده می کند.

APT28 :APT28 برای پنهان کردن ویندوز پاورشل از پارامتر WindowStyle استفاده کرده است .

کاهش اثر 

جلوگیری از اجرا: محدود کردن اجرای برنامه ها با استفاده از نرم افزار آنتی ویروس. برنامه های لیست سفید (whitelist) در macOS که مجاز به داشتن برچسب plist هستند. تمام برنامه های دیگر باید مشکوک در نظر گرفته شوند.

تشخیص

پروسس ها و آرگومان های خط فرمان (command-line arguments) را برای اقدامات نشانه های پنجره مخفی کنترل کنید. در ویندوز برای بررسی کردن window style مخفی، event logging  و powershell logging  را فعال و پیکربندی کنید. در  macOS، فایل های plist  فایل های متنی ASCII با فرمت به خصوصی هستند که انالیز ان ها ساده نیست، پایش فایل می تواند apple.awt.UIElement یا سایر plist  های مشکوک که در فایل های plist  تگ شده اند را بررسی کند و آنها را نشانه گذاری کند.

Index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\powershell.exe” CommandLine=”*-WindowStyle Hidden*”)

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.