Un Moyen Simple De Résoudre Les Problèmes D’analyse De Logiciels Malveillants Résiduels

Au cours des dernières semaines, d’autres de nos utilisateurs ont signalé avoir reçu pour les analyser pour les logiciels malveillants qui rôdent.

Votre PC est-il lent et lent? Est-il en proie à de mystérieux messages d'erreur et à des plantages ? Si tel est le cas, vous avez besoin de Reimage - le logiciel ultime pour corriger les erreurs Windows et restaurer des performances optimales.

Si vous produisez un flux Intel vulnérable qui aura des chemins de logiciels malveillants connus ou simplement des clés de propriété, cela peut indiquer que quelque chose a fonctionné auparavant. Mémoire non allouée : si le processus réel s’est arrêté mais que l’ordinateur n’a sans doute pas redémarré, vos besoins peuvent tenir compte de ses restes dans tout le nombre de pages de mémoire inutilisées.

Dans ce point, nous verrons comment les logiciels publicitaires résiduels sont détectés après qu’un incident ait fait l’objet d’une enquête. Bases

Une étape dans n’importe quel scénario de triage DFIR consiste à déterminer si le logiciel malveillant est de bas niveau et même avancé. Dans les deux derniers sujets de ma meilleure série “Introduction à l’IR”, nous avons examiné comment déterminer quels logiciels malveillants semblent fonctionner.

Nous allons maintenant nous concentrer sur la recherche de restes de nourriture liés à la réponse aux incidents parmi les logiciels malveillants après que tout a cessé de fonctionner. Nous terminons l’article avec ce que je dirais une brève introduction à l’utilisation de l’outil de réponse d’incident Cyber ​​​​Triage pour analyser les données liées aux logiciels malveillants.

Actualisation de 30 secondes

Avant de plonger dans tous les détails de cet article, évaluons les normes de base dans cette série d’articles “Introduction à l’IR”.

Recommandé : Reimage

Reimage est un logiciel révolutionnaire qui vous aide à résoudre une variété de problèmes Windows d'un simple clic sur un bouton. Il est facile à utiliser et peut vous aider à remettre votre ordinateur en marche en un rien de temps. Alors ne souffrez plus des problèmes de Windows - Reimage peut vous aider !

  • Étape 1 : Téléchargez et installez Reimage
  • Étape 2 : Lancez le programme et sélectionnez le système que vous souhaitez analyser
  • Étape 3 : Cliquez sur le bouton Numériser et attendez la fin du processus

  • Cette série de pages de contenu examine chacun des éléments, fournit un cadre pour un projet de recherche plus approfondi, puis fournit des méthodes spécifiques. Les enquêtes numériques consistent à répondre à un interrogatoire, et nous avons décomposé la question de tri connue “Cet équipement est-il compromis?” grandes (toujours grandes) questions :

  • Existe-t-il plusieurs actions physiques suspectes de la part de l’internaute (telles que l’accès à des fichiers sensibles) ?
  • Y a-t-il des logiciels malveillants (par exemple, des logiciels malveillants) ?
  • Existe-t-il pratiquement des modifications système malveillantes (telles que des paramètres de sécurité apaisants) ?
  • Et aujourd’hui, pour chaque espèce, les trois questions se décomposeront en questions plus petites. Le processus est définitivement répété jusqu’à ce que votre entreprise réponde à ce qui peut souvent être répondu en incluant des données autorisées.

    Passons maintenant au message n°8 de cette série et examinons également le n°2 et les logiciels malveillants.

    Dans l’article 6, nous divisons notre vraie question : “Cet ordinateur contient-il des logiciels malveillants ?” à 2 petites questions positives :

  • Existe-t-il des programmes méfiants qui ne démarrent pas en raison de certains déclencheurs (par exemple, le démarrage d’un poste de travail informatique, une sorte de connexion, une tâche planifiée par le consommateur, etc.) ?< /li>
  • Existe-t-il des processus suspects spécifiques en cours d’exécution ?
  • Existe-t-il des germes liés aux lancements précédents de logiciels malveillants connus ?
  • En d’autres termes, cela nous aidera à savoir quels programmes sont configurés, en particulier les programmes en cours d’exécution, et toutes les traces connues que nous pouvons trouver.

    Nous avons déjà dissimulé l’enregistrement/l’exécution et l’exécution de logiciels malveillants. Nous recherchons maintenant l’historique des exécutions passées.

    Pourquoi recherchons-nous des logiciels malveillants résiduels lorsque nous enquêtons sur des incidents ?

    Comment détectez-vous les logiciels malveillants vindicatifs ?

    Les performances du système sont dégradées.Nouveaux dossiers sans parler des fichiers de ce type dans un système particulier.Processus inconnus en cours d’exécution sur le ticker à propos du gestionnaire de tâches.Recherchez les ports suspects.Recherchez les entrées suspectes dans le registre.Le New Deal pour les startups.

    Nous avons déjà superposé de nombreuses façons de détecter les logiciels malveillants, n’est-ce pas ? Alors pourquoi exigeons-nous plus ?

  • Suppression : Le logiciel publicitaire a peut-être été supprimé récemment, et certaines des deux catégories suivantes étaient basées sur un examen très précis de l’endroit ou du moment où le logiciel malveillant s’exécute. Ils ne seront plus jamais détectés après la suppression du logiciel malveillant. Cela peut arriver si un attaquant puissant décide de supprimer un hôte garanti ou de mettre à niveau une technologie que ces gars ne veulent malheureusement pas conserver, ce qui pourrait normalement alerter un couple de sécurité qui compromettrait.
  • Furtivité : les auteurs de logiciels malveillants essaient sans cesse de trouver de nombreuses directions cachées pour exécuter leurs chevaux de Troie afin d’éviter la détection. Il y a toujours un risque concomitant que votre adversaire utilise un véritable nouveau traitement que les techniques dont il a été question précédemment n’ont pas immédiatement reconnu. Parce que:
  • Il y a certainement une autre machine dans votre propre organisation qui, à son tour, lance à distance des logiciels malveillants sur le point de terminaison que vous vérifiez probablement de temps en temps. Dans ce cas, le système de persistance n’est en fait pas sur cet hôte et vous n’avez peut-être pas vu la plupart du processus en cours d’exécution lors de la collecte des détails.
  • Un attaquant utilise un nouveau traitement de persistance sur ce nœud. Il y a tout un tas de startups, et peut-être qu’elles lanceront, sans aucun doute, la nouvelle qui retient le plus l’attention.
  • scanning for ad ware remnants

    Lors du tri des points de terminaison, il est judicieux de rechercher dans une sélection aussi large que possible d’endroits afin de trouver plusieurs résultats très rapidement à l’avance en allant trop loin dans une zone désignée.

    Ce que les équipes de réponse aux incidents de logiciels malveillants doivent savoir

    Nous ne pouvons pas demander, je dirais la question “Existe-t-il des traces d’exécutions historiques de logiciels malveillants connus ?”. Nous ne contenons pas défini le mot ce qui devrait être le reste.

    Regardons tout le cycle de vie d’un sous-programme (voir cet article écrit pour les exigences de processus) :

  • Il gère et distribue des bibliothèques
  • Ça marche et “marche”
  • Ça décolle.
  • Comme première étape vers les souhaits restants, examinons chacune des étapes suivantes.

    Charger les autres

    analyse lors de l'examen des restes de logiciels malveillants

    Lors de l’exécution de la méthode, Windows peut probablement créer diverses clés de registre à tout moment Enregistrer les enregistrements d’événements (selon le paramètre). À l’exception des processus de combinaison, la plupart des données sont en fait collectées pour permettre à Windows de précharger les bibliothèques et de ne pas perdre de temps à l’avenir.

  • Pré-récupérer
  • Assistant utilisateur
  • MUICache.
  • Nous avons couvert cette étape dans un article historique sur les utilisations que les utilisateurs voient généralement. Nous n’allons tout simplement pas entrer dans les détails, mais vous pouvez consulter l’article sur l’enquête sur le comportement des utilisateurs si les propriétaires ne l’ont pas déjà consulté.

    Gérer les restes pendant le travail

    Mais il y a quelques éléments sur lesquels les experts se concentrent sans effort lorsque nous semblons conçus pour les restes :

  • Téléchargements ou clés d’indicateur de compromission (IOC) : les logiciels malveillants peuvent créer de la documentation, des versions ou des valeurs de registre pour vider des emplacements ou des données interceptées. Parfois, le processus de nettoyage des logiciels espions ou manque certaines de ces clés de fichier ou . Si un employé dispose d’informations sur des menaces constituées de chemins ou de clés associés à d’autres programmes malveillants réalisés, cela peut indiquer que quelque chose est en cours d’exécution.
  • Vous ne pouvez pas vous tromper avec cet outil de réparation de Windows. Si vous rencontrez des problèmes, cliquez simplement dessus et vos problèmes seront résolus.