Een Gemakkelijke Manier Om Resterende Malwarescanproblemen Op Te Lossen

In de afgelopen weken hebben sommige van onze operators gemeld dat ze individuen op resterende malware moeten scannen.

Is uw pc traag en traag? Wordt het geplaagd door mysterieuze foutmeldingen en crashes? Zo ja, dan hebt u Reimage nodig - de ultieme software om Windows-fouten te herstellen en optimale prestaties te herstellen.

Als je een kwetsbare Intel-feed hebt die bekende malwarepistes of alleen sleutels bevat, kan dit betekenen dat iets eerder heeft gewerkt. Niet-toegewezen geheugen: als het proces helaas is gestopt, is de computer waarschijnlijk niet opnieuw opgestart, je kunt de overblijfselen ervan vinden op alle ongebruikte pagina’s met geheugen.

In dit gedeelte zullen we bekijken hoe resterende malware wordt gedetecteerd en hoe een incident is onderzocht. Basis

Een stap in elke DFIR-triage-gebeurtenis is om te bepalen of de adware laag of geavanceerd is. In je laatste twee artikelen van mijn meest populaire serie ‘Inleiding tot IR’ hebben we gekeken hoe we kunnen bepalen hoe spyware eruitziet en werkt.

Nu gaan we ons echt concentreren op het vinden van restjes die verband houden met must-respons op incidenten met malware nadat alles niet meer werkte. We eindigen de blog met wat ik zou zeggen een mooie korte introductie tot het gebruik van de Cyber ​​Triage-incidentresponstool om malware-gerelateerde gegevens te onderzoeken.

30 seconden vernieuwen

Voordat we ingaan op de details van dit geweldige artikel, laten we eerst de belangrijkste benchmarks in deze serie “Inleiding tot IR” doornemen.

Aanbevolen: Reimage

Reimage is een revolutionair stukje software waarmee u een groot aantal Windows-problemen met slechts één klik op de knop kunt oplossen. Het is gemakkelijk te gebruiken en het kan u helpen uw computer in een mum van tijd weer aan de praat te krijgen. Dus geen last meer van Windows-problemen - Reimage kan helpen!

  • Stap 1: Download en installeer Reimage
  • Stap 2: Start het programma en selecteer het systeem dat u wilt scannen
  • Stap 3: Klik op de knop Scannen en wacht tot het proces is voltooid

  • In deze serie artikelen wordt gekeken naar de locatie van elk van hen, biedt een systeem voor verder onderzoek en biedt u vervolgens specifieke methoden. Bij digitaal onderzoek gaat het om het beantwoorden van vragen, en we hebben het veelvoorkomende sorteerdilemma “Is dit apparaat gecompromitteerd?” grote (altijd grote) vragen:

  • Zijn er verdachte fysieke functies door de gebruiker (zoals interactie met gevoelige bestanden)?
  • Is er spyware (bijv. malware)?
  • Zijn er kwaadwillende systeemknoppen (zoals het versoepelen van de beveiligingsinstellingen)?
  • En in de huidige tijd zullen de drie raadsels voor elke race worden opgesplitst in compactere vragen. Het proces wordt herhaald totdat een bedrijf vragen beantwoordt die routinematig kunnen worden beantwoord met geautoriseerde gegevens.

    Om te beginnen ga je verder met het plaatsen van #8 in deze serie en bekijk je #2 en malware.

    In artikel 6 vernietigen we onze vraag “Bevat deze computer malware?” tot drie kleine gegarandeerde vragen:

  • Zijn er verdachte programma’s die fout gaan bij het starten vanwege bepaalde stimulerende middelen (bijvoorbeeld het opstarten van de computer, een soort login, door de gebruiker geplande taak, enz.)?< /li>
  • Zijn er verdachte functies actief?
  • Zijn er kiemen van eerdere lanceringen van de bekende malware?
  • Met andere woorden, het helpt ons zeker te zien welke programma’s werden geconfigureerd, welke programma’s actief zijn en eventuele bekende sporen die we in veel gevallen kunnen vinden.

    We hebben het opslaan/uitvoeren en uitvoeren van malware al besproken. Nu zijn we op zoek naar de geschiedenis van eerdere executies.

    Waarom zoeken we naar resterende malware wanneer we incidenten onderzoeken?

    Hoe ervaar je kwaadaardige malware?

    De systeemprestaties zijn verslechterd.Nieuwe mappen en bestanden van dit procestype in het systeem.Onbekende processen werken op ticker in taakbeheer.Kijk door verdachte poorten.Controleer op verdachte vermeldingen in het register.De nieuwe deal voor startups.

    We hebben al veel processen behandeld voor malwaredetectie, nietwaar? Dus de redenen waarom we meer nodig hebben?

  • Verwijdering: de adware en spyware zijn mogelijk verwijderd en een klein deel van de laatste twee categorieën komt terecht op basis van een onderzoek naar specifiek waar of terwijl de malware wordt geactiveerd. Ze worden niet gedetecteerd kort nadat de malware is verwijderd. Dit kan zeker gebeuren als een aanvaller besluit om hem toe te staan ​​een bepaalde host te laten vallen of een technologie bij te werken die hij helaas niet hoeft te behouden, wat een goed solide beveiligingspaar zou kunnen waarschuwen voor het compromis.
  • Stealth: Malware-auteurs proberen constant veel verborgen manieren te vinden om de meeste van hun Trojaanse paarden uit te voeren om detectie te voorkomen. Er is altijd een risico dat je vijand een nieuwe behandeling gaat gebruiken die je de eerder genoemde technieken zeker niet direct herkende. Omdat:
  • Er is zeker één enkele machine in uw organisatie die op zijn beurt op afstand malware initieert op elk van onze eindpunten die u van tijd tot tijd controleert. In dit geval is er geen nieuw persistentiesysteem bij deze host, en het is mogelijk dat u het grootste deel van het proces tijdens het verzamelen van gegevens niet ziet werken.
  • Een aanvaller gebruikt een gloednieuw, nieuw persistentieproces op dit specifieke knooppunt. Er zijn honderden startups, en misschien lanceren ze de verfrissende die de meeste aandacht krijgt.
  • scannen op malwareresten

    Bij het selecteren van eindpunten is het een goed idee om op zoveel mogelijk plaatsen uit te checken, zodat u snel meerdere statistieken kunt vinden voordat u te sterk in een specifiek gebied gaat.< /p>

    Wat responsteams voor malware-incidenten moeten weten

    We kunnen de vraag “Zijn er op dit moment sporen van eerdere versies van bekende malware?” niet stellen. We hebben het belangrijkste woord niet gedefinieerd wat de rest is.

    Laten we eens kijken naar de levenscyclus van elke soort subroutine (zie dit artikel voor procesvereisten):

  • Het draait en bundelt bibliotheken
  • Het werkt net zo goed als “werkt”
  • Het gaat uit.
  • Als eerste beslissing over overgebleven verlangens, laten we eens kijken naar elk van deze stappen.

    Anderen laden

    scannen op malwareresten

    Tijdens het aansturen van de methode kan Windows talloze registersleutels maken wanneer Logging records samenbrengt (afhankelijk van de instelling). Met die uitzondering van registratieprocessen, worden de meeste gegevens verzameld naar haalbare Windows om bibliotheken vooraf te laden en in plaats van tijd te verspillen in de toekomst.

  • Prefetch
  • Gebruikersassistent
  • MUICache.
  • We hebben dit onderwerp behandeld in een traditioneel artikel over programma’s die gebruikers eigenlijk bekijken. We zullen niet ingaan op informatie, maar u zou dat artikel over gebruikersgedrag moeten lezen als klanten het nog niet hebben gelezen.

    Restantjes verwerken terwijl u aan het werk bent

    Maar er zijn een paar tips waar de experts zich op kunnen concentreren, dus als we zoeken naar overblijfselen:

  • Downloads of Indicator of Compromise (IOC) Keys: Malware zou documentatie, mappen of registerprijzen kunnen maken om configuraties of onderschepte feiten te dumpen. Soms krijgt het malware-opruimproces sommige van deze bestandssleutels of een . Als iemand informatie heeft over bedreigingen die paden of geheimen en technieken bevatten die verband houden met bekende malware en andere oplossingen, kan dit erop wijzen dat er iets actief was.
  • U kunt niet fout gaan met deze Windows-reparatietool. Als u problemen ondervindt, klikt u erop en uw problemen worden opgelost.