Заражены вредоносным ПО? Проверьте ваш реестр Windows

  1. Решение, какие ключи реестра для аудита
  2. Поиск вредоносного ПО с помощью VirusTotal
  3. Включение аудита реестра

С сотнями миллионов вариантов вредоносная программа Microsoft Windows не всегда изменяет базу данных реестра Windows (т. Е. Реестр)… но обычно это так. Вредоносное ПО изменяет реестр, чтобы он мог запускаться после перезагрузки, чтобы лучше скрыться или интегрироваться с существующим законным процессом. Таким образом, имеет смысл отслеживать области реестра, которыми часто манипулируют вредоносные программы.

Проблема заключается в том, что большинство легитимных программ модифицируют те же самые ключи реестра, что приводит к слишком большому ложно-положительному «шуму». Вещи, на которые вы действительно должны обращать внимание, вероятно, будут перегружены и заглушены вещами, о которых вам действительно не нужно беспокоиться. Но если вы делаете это правильно, это может быть отличным способом обнаружить вредоносные программы и оповещать отвечающие ресурсы.

Решение, какие ключи реестра для аудита

Какие разделы реестра среди десятков тысяч полезны для аудита? У меня нет полного списка, который был бы точным на 100 процентов, но лучший источник Microsoft Sysinternals Autoruns программа.

Если вы просмотрите разделы реестра, которые проверяет Autoruns, у вас будет один из наиболее полных списков разделов реестра, которыми вредоносная программа любит манипулировать. Охватывая 19 различных разделов реестра, Autoruns довольно тщательный. Некоторые люди предпочитают похожий сценарий Silent Runners.vbs , но я предпочитаю автозапуск. Он не только размещен в Microsoft, но и создан легендарным Марк Руссинович и часто обновляется им и его командой.

Новые векторы атаки довольно быстро попадают в автозапуск. Программа имеет отличный графический интерфейс, который позволяет быстро просматривать (и отключать) записи автозапуска, отправлять хэши файлов для анализа VirusTotal.com и выполнять сравнение до и после. Сценарий SilentRunners.vbs охватывает много одинаковых ключей реестра, и некоторым людям может быть проще извлечь из него пути к ключам реестра. (Вы можете извлечь ключи реестра из автозапуска, используя опцию Сохранить или используя версию командной строки, Autorunsc.exe.)

Однако обратите внимание, что, возможно, один процент современных вредоносных программ является резидентным, то есть не записывает себя в постоянное хранилище. Таким образом, он не изменяет один из проанализированных разделов реестра. Для обнаружения резидентного содержимого памяти выполните процедуру, описанную в " Как обнаружить заражение вредоносным ПО за 9 простых шагов «.

Поиск вредоносного ПО с помощью VirusTotal

Реальный трюк в реестре - выяснить, какие модификации являются вредоносными, а какие законными. Много лет назад эта деятельность заняла годы опыта и около часа на машину. Теперь вы можете сказать примерно за 15 секунд с максимально возможной точностью. Просто включите VirusTotal функциональность автозапуска.

VirusTotal - это служба, принадлежащая Google, которая запускает каждый хэш файла для каждого участвующего антивирусного программного обеспечения. В настоящее время он имеет 67 антивирусных движков, хотя это число растет и уменьшается. VirusTotal великолепен сам по себе. Пользователи могут индивидуально отправлять файлы и узнавать, заражены ли они вредоносным ПО. Но в действительности это становится понятным, когда с ним интегрируются программы, такие как Autoruns и Process Explorer.

Когда вы запускаете любую из утилит и включаете опцию Проверить VirusTotal, каждый задействованный файл будет автоматически отправлен в VirusTotal, а затем будет возвращен коэффициент для каждого файла. Знаменатель (нижняя половина) показывает, сколько антивирусных механизмов проверяли отправку. Обычно это число 67 или что-то меньшее. Знаменатель (верхняя половина) показывает, сколько из этих антивирусных движков обнаружило отправку файла как вредоносное. Если указатель равен 0, то этот файл не является вредоносным. Если указатель 3 или выше, то у вас обычно есть вредоносная программа. К сожалению, если указатель показывает 1 или 2, это обычно ложно-положительный результат относительно неизвестного антивирусного движка. Если вы будете следовать этим правилам, VirusTotal будет очень, очень точным.

Если вы будете следовать этим правилам, VirusTotal будет очень, очень точным

Роджер Граймс / IDG

Пример интеграции Autoruns и VirusTotal с указанными соотношениями

Ссылка Autoruns / VirusTotal.com поможет вам, но я не знаю простого способа автоматизации или написания сценария процесса. По крайней мере, простой сбор и агрегация изменений ключей реестра - это, по крайней мере, начало. Затем вы можете проанализировать, что вы собираете, и определить, насколько сложно или просто будет обнаружить вредоносный агент. Если вы читали это далеко, вы уже продвинулись дальше, чем большинство администраторов.

Включение аудита реестра

Корпоративные объекты должны включать аудит реестра, который может быть выполнен с использованием встроенных функций аудита Windows. Разумеется, вам нужно начать с включения аудита реестра Windows. Это двухэтапный процесс.

Сначала вам нужно включить аудит реестра в регистраторе событий Windows. Это можно сделать с помощью Active Directory или локальной групповой политики, чтобы найти и включить параметр «Реестр аудита» в подкатегории «Доступ к объектам» в разделе «Конфигурация расширенной политики аудита (Конфигурация компьютера> Параметры Windows> Параметры безопасности»). Включите параметры успеха и неудачи. Для последней конфигурации всегда полезно знать, какая программа (или какие пользователи) пытались изменить раздел реестра, когда у них не было правильных разрешений.

Затем вам нужно открыть каждый отдельный раздел реестра с помощью Regedit.exe, щелкнуть правой кнопкой мыши разделы реестра, которые вы хотите проверить, выбрать параметр «Разрешения», затем нажать кнопку «Дополнительно» и, наконец, выбрать вкладку «Аудит». Добавьте группу «Все» в качестве участника аудита и вместо выбора одного из трех основных разрешений выберите «Показать дополнительные разрешения». Затем включите следующие разрешения:

  • Установить значение
  • Создать подраздел
  • Создать ссылку
  • Написать ЦАП
  • Написать владельцу

Повторите эту процедуру разрешений для каждого раздела реестра, который вы хотите отслеживать.

Реестр реестра не для слабонервных. Мой лучший совет - сосредоточиться на мониторинге разделов реестра на компьютерах, которые содержат ценные данные и другие стратегические активы (например, контроллеры домена, серверы инфраструктуры, прыгать коробки и т. д.) и которые не должны часто меняться.

Аудит реестра может быть немного пугающим, но это еще один отличный инструмент для обнаружения вредоносных программ на ваших компьютерах и в сетях. Вступайте в реалистичные ожидания, отсеивайте шум и добавляйте важную деталь в ваш общий режим обнаружения.