تشخیص Hidden Windows توسط رول تشخیص اسپلانک

ممکن است مهاجمین از ویندوز مخفی (Hidden windows) برای پنهان کردن فعالیت های مخرب از دید کاربران استفاده کنند. در بعضی موارد، پنجره ای  که معمولا هنگام اجرای عملکرد برنامه ی کاربردی نمایش داده می شود می تواند مخفی باشد. این ممکن است توسط مدیران سیستم برای جلوگیری از ایجاد اختلال در محیط کاری کاربر هنگام انجام دادن کارهای اداری مورد استفاده قرار گیرد. ممکن است مهاجمین از عملکرد سیستم عامل سواستفاده کنند، به عنوان مثال پنجره ی  قابل مشاهده را از کاربران مخفی کنند تا این که نتواند کاربر را از فعالیت مهاجم در سیستم مطلع کند.

Windows

در زبان اسکریپت نویسی ویندوز ویژگی های متعددی از جمله powershell ،J script,  VBscript برای مخفی کردن پنجره ها وجود دارد .

به عنوان مثال powershell.exe-Windows Style Hidden 

Mac

تنظیمات مربوط به نحوه ی اجرای برنامه های کاربردی در mac OS در فایل های لیست ویژگی (plist ) لیست شده اند. یکی از برچسب ها (tag) در این فایل ها  apple.awt.UIElement می باشد که برنامه های کاربردی جاوا اجازه میدهد تا مانع از نمایش دادن آیکون برنامه کاربردی در Dock شوند. یک کاربرد متداول برای این مورد هنگامی است که برنامه های کاربردی در system tray اجرا می شوند اما نمی خواهند در Dock نمایش داده شوند. اگرچه مهاجمین می توانند از این ویژگی سواستفاده کنند و پنجره ی  در حال اجرا را پنهان کنند .

ID:T1564.003

Tactic:Defense Evasion

Platform:macOS

Permission Required:user 

Data source:windows event logs ,powershell logs ,process command-line parameters ,Process monitoring ,File monitoring 

مثال هایی از روش ها

APT 19 : APT 19 برای پنهان کردن ویندوز پاورشل با تنظیم کردن پارامتر Window Style  بر روی hidden از ویندوز مخفی  (W hidden) استفاده می کند.

APT28 :APT28 برای پنهان کردن ویندوز پاورشل از پارامتر WindowStyle استفاده کرده است .

کاهش اثر 

جلوگیری از اجرا: محدود کردن اجرای برنامه ها با استفاده از نرم افزار آنتی ویروس. برنامه های لیست سفید (whitelist) در macOS که مجاز به داشتن برچسب plist هستند. تمام برنامه های دیگر باید مشکوک در نظر گرفته شوند.

تشخیص

پروسس ها و آرگومان های خط فرمان (command-line arguments) را برای اقدامات نشانه های پنجره مخفی کنترل کنید. در ویندوز برای بررسی کردن window style مخفی، event logging  و powershell logging  را فعال و پیکربندی کنید. در  macOS، فایل های plist  فایل های متنی ASCII با فرمت به خصوصی هستند که انالیز ان ها ساده نیست، پایش فایل می تواند apple.awt.UIElement یا سایر plist  های مشکوک که در فایل های plist  تگ شده اند را بررسی کند و آنها را نشانه گذاری کند.

Index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\powershell.exe” CommandLine=”*-WindowStyle Hidden*”)

administrator
با سال‌ها تجربه در طراحی، پیاده‌سازی و مدیریت مراکز عملیات امنیتی (SOC) و Splunk، تخصص من بر توسعه و بهینه‌سازی زیرساخت‌های امنیتی متمرکز است تا سازمان‌ها را در برابر تهدیدات سایبری مقاوم‌تر سازم. تسلط بر طیف گسترده‌ای از ابزارها و فناوری‌های امنیتی، همراه با توانایی تحلیل و مدیریت تهدیدات، به من این امکان را داده است که در محیط‌های پویا و چالش‌برانگیز، راهکارهای مؤثر و عملی ارائه دهم. علاوه بر فعالیت‌های اجرایی، به‌عنوان مدرس در حوزه امنیت سایبری و فناوری اطلاعات، دانش و تجربیات خود را به دیگران انتقال داده و در تربیت متخصصان آینده این حوزه نقش مؤثری ایفا می‌کنم. مهارت‌های ارتباطی قوی و توانایی کار تیمی، به من کمک می‌کند تا به‌طور مؤثر با تیم‌های فنی و مدیریتی همکاری کرده و در پیشبرد اهداف سازمانی نقشی کلیدی داشته باشم. تعهد به یادگیری مستمر، ارائه راهکارهای نوآورانه و ارتقای سطح امنیت سایبری، همواره از اولویت‌های حرفه‌ای من بوده است.

نظرات

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Telegram