Các quy tắc và phương pháp hay nhất về cách chứa ứng dụng động

Môi trường dữ liệu

McAfee Endpoint Security (ENS) Adaptive Threat Protection (ATP) , phiên bản 10.x

Tóm tắt

Quy tắc Chứa ứng dụng động (DAC) trong chính sách mặc định của McAfee để giảm các trường hợp giả mạo lừa đảo. Công nghệ bảo vệ mối đe dọa thích ứng cung cấp hai ứng dụng động được xác định là: Ứng dụng cân bằng mặc định và bảo mật mặc định của McAfee. Các ứng dụng này đặt ra các quy tắc để ngặn chặn, dựa trên cấu hình bảo mật sau:

  • McAfee Default Balanced cung cấp mức bảo vệ cơ bản trong khi nó giảm thiểu các mô hình giả mạo với nhiều ứng dụng và trình cài đặt chưa được duyệt.
  • McAfee Default Security cung cấp khả năng bảo vệ tích cực, nhưng có thể gây ra hiện tượng mô hình giả thường xuyên hơn trên các ứng dụng và trình cài đặt duyệt.

Phương pháp hay nhất để đánh giá tác động của các quy tắc DAC là sử dụng mô hình Default của McAfee, với các quy tắc được thiết lập để báo cáo. Để xác định xem có đặt quy tắc nào để ngăn chặn hay không, bạn hãy theo dõi nhật ký và báo cáo. Sau khi bạn thu thập các sự kiện vi phạm từ công nghệ Ngăn chặn ứng dụng động (ID sự kiện 37280). Bạn hãy đặt tạo hồ sơ cho nó hoặc loại trừ DAC trước khi bạn thực thi chính sách Default của McAfee.

Ngoài ra, DAC có thể loại trừ khỏi quá trình ngăn chặn dựa trên tên, mã nguồn MD5, dữ liệu chữ ký và đường dẫn. Nếu tổ chức của bạn ban hành các công cụ được triển khai nội bộ thì hãy thêm các dữ liệu chữ ký này, để loại trừ các trường hợp giả mạo.

Khi ở chế độ quan sát, DAC báo cáo nội dung như “sẽ chứa” nhưng không “sẽ chặn” các sự kiện. (Một ứng dụng phải được chứa trước khi ENS xác định có chặn nó hay không.) Các sự kiện “sẽ chứa” không chỉ là một cơ hội tiềm năng. Vậy để điều chỉnh DAC đúng cách, sau khi bạn tắt chế độ quan sát, hãy sửa đổi các quy tắc ngăn chặn để báo cáo nhưng không chặn. Sau đó, thiết lập các quy tắc để chặn khi cần thiết, để phù hợp với cấu hình mặc định.

Các quy tắc DAC có kiểm soát luồng dữ liệu, giới hạn số lượng sự kiện được tạo ra một lần mỗi giờ, mỗi quy tắc và mỗi quy trình. Kiểm soát luồng dữ liệu ở DAC là theo dõi các quy trình bằng ID quy trình (PID). Khi một quy trình khởi động lại, hệ điều hành sẽ gán cho nó một PID mới và PID này sẽ cài đặt lại kiểm soát luồng, mặc dù tên quy trình giống nhau. Ví dụ: nếu Quy trình A vi phạm quy tắc DAC-A: 100 lần mỗi giờ, bạn nhận được một sự kiện mỗi giờ. Nếu Quy trình A khởi động lại trong giờ đó, kiểm soát luồng sẽ cài đặt lại cho Quy trình A và bạn sẽ nhận được một sự kiện khác nếu nó tiếp tục vi phạm quy tắc DAC-A. Nếu Quy trình B vi phạm cùng quy tắc DAC-A, bạn sẽ nhận được sự kiện thứ hai (với các chi tiết của Quy trình B).

Phương pháp hay nhất là chạy công cụ McAfee GetClean trên hình ảnh cơ sở, triển khai cho hệ thống của bạn. Công cụ này đảm bảo rằng các tệp tin sạch được gửi đến Global Threat Intelligence (GTI), để được phân loại. Công cụ này cũng giúp đảm bảo rằng GTI không cung cấp giá trị danh nghĩa không chính xác cho các tệp tin của bạn. Để biết thêm thông tin, hãy xem hướng dẫn sản phẩm GetClean, nó có sẵn từ trong trang tải sản phẩm.

Quy tắc ngăn chặn do McAfee xác định Mô tả McAfee Default Balanced được đề xuất đặt để chặn McAfee Default Security được khuyến nghị đặt để chặn
Truy cập mật khẩu không an toàn LM Hashes ·Bảo vệ tệp SAM trong đường dẫn: % WINDIR% \ system32 \ config. Windows lưu trữ mật khẩu trong tệp này. Các chương trình thường không truy cập tệp này.

·Phương pháp hay nhất: Đặt quy tắc này thành báo cáo (mặc định) để theo dõi các chương trình độc hại tiềm ẩn hoặc các nỗ lực truy cập trái phép.

Truy cập vị trí cookie của người dùng ·Bảo vệ thư mục cookie của Internet Explorer trong đường dẫn: % AppData% \ Roaming và% AppData% \ Local khỏi các thay đổi.

·Phương pháp hay nhất: Đặt quy tắc này thành chỉ báo cáo (mặc định) để theo dõi quyền truy cập vào cookie của Internet Explorer bởi các chương trình được chứa.

Phân bổ bộ nhớ trong tiến trình khác Ngăn chặn các tiến trình có thể thay đổi bộ nhớ trong các tiến trình khác trên hệ thống.
Tạo một luồng trong một quy trình khác Ngăn các quy trình chứa tạo hoặc sửa đổi một quá trình trong các quy trình khác trên hệ thống.
Tạo tập tin ở bất kỳ vị trí mạng ·Ngăn các quy trình có chứa tạo tệp trên vị trí mạng. Phần mềm độc hại có thể sử dụng những vị trí này để phát tán các tệp bị nhiễm.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo, để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Tạo tệp trên CD, đĩa mềm và ổ đĩa di động ·Ngăn chặn các quy trình chứa tệp tin trên thiết bị di động. Phần mềm độc hại có thể sử dụng các thiết bị này để lan truyền.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Tạo tệp với phần mở rộng .bat ·Ngăn các quy trình chứa tạo bất kỳ tệp nào có phần mở rộng .bat.

·Nếu các tệp hàng loạt được sử dụng cho mục đích quản trị, việc đặt quy tắc chặn này có thể tạo ra kết quả xác thực sai và ảnh hưởng đến hoạt động kinh doanh.

·Phương pháp hay nhất: Nếu các tệp hàng loạt không được sử dụng để quản trị hệ thống, hãy đặt quy tắc này để chặn và báo cáo. Cài đặt này ngăn chặn phần mềm độc hại, tạo tập lệnh để các công cụ tạo tập lệnh thực thi sau này.

Tạo tệp có phần mở rộng .exe ·Ngăn các quy trình chứa tạo bất kỳ tệp nào có phần mở rộng .exe. Quy tắc này ngăn phần mềm độc hại tạo tệp thực thi trên hệ thống.

·Các “lớp lỗi” điển hình có thể xảy ra với quy tắc này có thể bao gồm WinZip, nếu người dùng cập nhật WinZip thường xuyên và một số trình cài đặt và gỡ cài đặt. Đảm bảo rằng bạn chạy GetClean trước khi bật khối. Để điều chỉnh thêm quy tắc này, hãy sử dụng loại trừ toàn cầu DAC.

Tạo tệp với phần mở rộng .html, .jpg hoặc .bmp ·Ngăn các quy trình chứa tạo tệp với phần mở rộng .html, .jpg hoặc .bmp. Phần mềm độc hại đôi khi chiếm quyền điều khiển các tiện ích mở rộng này, để lừa người dùng thực thi.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo, để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Tạo tệp với phần mở rộng .job ·Ngăn các quy trình chứa lập lịch tác vụ trên hệ thống. Phần mềm độc hại tích cực khai thác các tác vụ đã lên lịch trình để tránh các máy quét hành vi người dùng.
Tạo tệp bằng phần mở rộng .vbs ·Ngăn các quy trình chứa tạo tệp có phần mở rộng .vbs.

·Nếu tệp .vbs được sử dụng cho mục đích quản trị, việc đặt quy tắc này để chặn có thể tạo ra kết quả xác thực sai và ảnh hưởng đến hoạt động kinh doanh.

·Phương pháp hay nhất: Nếu tệp .vbs không được sử dụng để quản lý hệ thống, hãy đặt quy tắc này để chặn và báo cáo. Cài đặt này ngăn phần mềm độc hại tạo tập lệnh mà các công cụ tạo tập lệnh thực thi sau này.

Tạo CLSID, APPID và TYPELIBs mới ·Ngăn các quy trình có chứa tạo ID lớp, ID ứng dụng hoặc TypeLIB. Các vị trí đăng ký này có thể được sử dụng để đăng ký các loại tệp mới và cho phép phần mềm độc hại trở thành điểm xâm nhập trên hệ thống.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Xóa các tệp thường được nhắm mục tiêu bởi phần mềm độc hại lớp ransomware ·Ngăn chặn các quy trình có chứa xóa các tệp mà phần mềm độc hại lớp ransomware thường nhắm mục tiêu. Ransomware đôi khi cố gắng đọc các tệp vào bộ nhớ, ghi nội dung tệp vào một tệp mới, mã hóa nó và sau đó xóa bản gốc.

·Phần mềm độc hại loại ransomware thường không cố gắng thay đổi trực tiếp các tệp mà nó đang nhắm mục tiêu để mã hóa. Thay vào đó, nó sử dụng một quy trình đã có trên hệ thống, chẳng hạn như explorer.exe hoặc powershell.exe, để ủy quyền cuộc tấn công. Nếu đủ số lần thử bị chặn, phần mềm độc hại có thể quay trở lại cố gắng mã hóa tệp trực tiếp.

Vô hiệu hóa các tệp thực thi quan trọng của hệ điều hành ·Ngăn chặn các quy trình có chứa vô hiệu hóa regedit hoặc trình quản lý tác vụ và do đó hạn chế quản trị viên truy cập các công cụ này.
Thực thi bất kỳ quy trình con nào ·Ngăn các quy trình chứa thực thi bất kỳ quy trình con nào trên hệ thống.

·Phương pháp hay nhất: Chạy GetClean trước khi đặt quy tắc này để chặn.

Sửa đổi các mục đăng ký DLL của appinit ·Ngăn các quy trình chứa thêm các mục vào vị trí đăng ký appinit.

·Các quy trình ở chế độ người dùng trên hệ thống có thể tải bất kỳ mục nhập nào trong vị trí đăng ký appinit. Vì lý do này, phần mềm độc hại có thể sử dụng các quy trình này như một vectơ tấn công để chèn tải trọng của nó.

Sửa đổi gán lệnh tương thích ứng dụng ·Ngăn chặn các quy trình chứa trong việc tạo miếng đệm tương thích ứng dụng. Phần mềm độc hại có thể sử dụng kỹ thuật này để giành được các quyền tương tự của quy trình đích và đưa mã shellcode vào.
Sửa đổi các tệp Windows quan trọng và vị trí đăng ký ·Ngăn chặn các quy trình chứa thay đổi các tệp và vị trí đăng ký quan trọng như tệp máy chủ lưu trữ, vị trí đăng ký WINLOGON, vị trí đăng ký trình quản lý phiên và các vị trí khác.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Sửa đổi cài đặt nền màn hình ·Ngăn chặn các quy trình được chứa thay đổi cài đặt cho hình nền hoặc nền của màn hình. Phần mềm độc hại có thể sử dụng kỹ thuật này để lừa người dùng, ẩn tệp hoặc khiến người dùng nghĩ rằng họ đang nhấp vào thứ khác.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Sửa đổi các liên kết phần mở rộng tệp ·Ngăn chặn các quy trình bị chiếm quyền điều khiển các liên kết phần mở rộng tệp. Phần mềm độc hại có thể sử dụng kỹ thuật này để lừa người dùng thực thi các loại tệp không xác định hoặc sử dụng các chương trình không xác định để thực thi tệp.
Sửa đổi tệp với phần mở rộng .bat ·Ngăn các quy trình chứa thay đổi tệp có phần mở rộng .bat. Sử dụng quy tắc này để giúp ngăn phần mềm độc hại lây nhiễm vào các tệp tập lệnh trên hệ điều hành.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Sửa đổi tệp bằng phần mở rộng .vbs ·Ngăn không cho các quy trình thay đổi tệp bằng phần mở rộng .vbs. Sử dụng quy tắc này để giúp ngăn phần mềm độc hại lây nhiễm vào các tệp tập lệnh trên hệ điều hành.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Sửa đổi mục đăng ký tùy chọn thực thi tệp hình ảnh ·Ngăn các quy trình chứa thay đổi tùy chọn thực thi tệp hình ảnh trong đăng ký. Phần mềm độc hại có thể sử dụng kỹ thuật này để chiếm đoạt việc thực thi quy trình và ngăn các quy trình thực thi hoàn toàn.
Sửa đổi tệp thực thi di động ·Ngăn chặn các quy trình chứa thay đổi bất kỳ tệp thực thi di động nào trên hệ thống. Các tệp thực thi di động là các tệp mà Windows có thể thực thi nguyên bản, chẳng hạn như .exe, .dll và .sys.
Sửa đổi cài đặt trình bảo vệ màn hình ·Ngăn không cho các quy trình thay đổi cài đặt trình bảo vệ màn hình. Phần mềm độc hại có thể sử dụng kỹ thuật này để thả độc hại vào hệ thống.
Sửa đổi vị trí đăng nhập khởi động ·Ngăn các quy trình chứa tạo hoặc thay đổi vị trí khởi động sổ đăng nhập Windows. Phần mềm độc hại thường ẩn trong hoặc proxy trong các vị trí khởi động sổ đăng nhập Windows.
Sửa đổi trình gỡ lỗi tự động ·Ngăn không cho các quy trình thay đổi hoặc thêm trình gỡ lỗi tự động, mà phần mềm độc hại có thể sử dụng để chiếm đoạt việc thực thi quy trình và lấy cắp thông tin nhạy cảm.
Sửa đổi bit thuộc tính ẩn ·Ngăn chặn các quy trình chứa thay đổi bit ẩn trong các tệp trên hệ thống.
Sửa đổi bit thuộc tính chỉ đọc ·Ngăn các quy trình chứa thay đổi bit chỉ đọc trong các tệp trên hệ thống.
Sửa đổi vị trí đăng ký dịch vụ ·Ngăn các quy trình chứa thay đổi hành vi dịch vụ trên hệ thống.
Sửa đổi chính sách tường lửa của Windows ·Ngăn không cho các tiến trình thay đổi chính sách tường lửa được lưu trữ trong sổ đăng ký. Phần mềm độc hại có thể sử dụng tường lửa của Windows để mở các lỗ hổng bảo mật trên hệ thống.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Sửa đổi thư mục Windows Tasks ·Ngăn các tiến trình chứa trong đó tạo hoặc thay đổi các tác vụ được lưu trữ trong các thư mục Task. Phần mềm độc hại có thể sử dụng các tác vụ để đặt tải trọng của nó lên hệ thống.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Sửa đổi chính sách người dùng ·Ngăn không cho các quy trình chứa trực tiếp thay đổi cài đặt chính sách nhóm. Phần mềm độc hại có thể sử dụng kỹ thuật này để thay đổi chính sách bảo mật và mở các lỗ hổng trong hệ thống.
Sửa đổi thư mục dữ liệu của người dùng ·Ngăn không cho các quy trình chứa thay đổi hoặc thực thi các tệp trong thư mục dữ liệu chung của người dùng. Các thư mục dữ liệu phổ biến như: Màn hình nền, Tải xuống, Tài liệu, Ảnh và các vị trí khác trong thư mục AppData, nơi phần mềm độc hại nhắm mục tiêu trong các cuộc tấn công ransomware.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

·Quy tắc này có thể dẫn đến kết quả báo cáo  giả, tùy thuộc vào việc chương trình chứa có thực sự độc hại hay không.

Đọc các tệp thường được nhắm mục tiêu bởi phần mềm độc hại cấp ransomware ·Ngăn chặn các quá trình chứa các quá trình đọc các tệp mà phần mềm độc hại cấp ransomware thường nhắm mục tiêu. Ransomware đôi khi cố gắng đọc các tệp vào bộ nhớ, ghi nội dung tệp vào một tệp mới, mã hóa nó và sau đó xóa bản gốc.

·Phần mềm độc hại lớp Ransomware thường không cố gắng thay đổi trực tiếp các tệp mà nó nhắm mục tiêu để mã hóa. Thay vào đó, nó sử dụng một quy trình đã có trên hệ thống, chẳng hạn như explorer.exe hoặc powershell.exe, để ủy quyền cuộc tấn công. Nếu đủ số lần thử bị chặn, phần mềm độc hại có thể quay trở lại cố gắng mã hóa tệp trực tiếp.

Đọc từ bộ nhớ của tiến trình khác ·Ngăn không cho các tiến trình đọc bộ nhớ từ tiến trình khác trên hệ thống. Quy tắc này có thể giúp ngăn chặn các nỗ lực ăn cắp thông tin có trong các quy trình được nhắm mục tiêu.
Đọc hoặc sửa đổi tệp trên bất kỳ vị trí mạng nào ·Ngăn các quy trình chứa đọc hoặc thay đổi tệp trên vị trí mạng. Phần mềm độc hại có thể sử dụng những vị trí này để phát tán các tệp bị nhiễm.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Đọc hoặc sửa đổi tệp trên đĩa CD, đĩa mềm và ổ đĩa di động ·Ngăn các quá trình chứa đọc hoặc thay đổi nội dung của thiết bị di động. Phần mềm độc hại có thể sử dụng các thiết bị này để lan truyền.

·Phương pháp hay nhất: Trong thời gian bùng phát, hãy đặt quy tắc này để chặn và báo cáo để giúp ngăn chặn hoặc làm chậm quá trình lây nhiễm.

Tạm dừng một quy trình ·Ngăn các quy trình có chứa tạm dừng các quy trình khác trên hệ thống. Một số phần mềm độc hại cố gắng đình chỉ một quy trình để chiếm đoạt nó hoặc làm trống nó cho các mục đích xấu, còn được gọi là làm rỗng quy trình.
Chấm dứt quá trình khác ·Ngăn các quá trình chứa dừng các quá trình trên hệ thống.
Ghi vào bộ nhớ của tiến trình khác ·Ngăn các tiến trình chứa ghi vào không gian bộ nhớ của tiến trình khác trên hệ thống
Ghi vào các tệp thường được nhắm mục tiêu bởi phần mềm độc hại cấp ransomware ·Ngăn chặn các quy trình chứa thay đổi các tệp mà phần mềm độc hại cấp ransomware thường nhắm mục tiêu.

·Phần mềm độc hại lớp Ransomware thường không cố gắng thay đổi trực tiếp các tệp mà nó nhắm mục tiêu để mã hóa. Thay vào đó, nó sử dụng một quy trình đã có trên hệ thống, chẳng hạn như explorer.exe hoặc powershell.exe, để ủy quyền cuộc tấn công. Nếu đủ số lần thử bị chặn, phần mềm độc hại có thể quay trở lại cố gắng mã hóa tệp trực tiếp.

Biên dịch Lê Toản – Help.pacisoft.com