Analiza skryptu

• CCS może analizować kod w plikach wykonywalnych na dwa sposoby:

• • Heurystyczna analiza wiersza poleceń (Heuristic command line analysis)
  • Wykrywanie kodów wbudowanych (Embedded Code Detection)

• Można włączyć te funkcje i wybrać programy, które mają być monitorowane, dodając do profilu sekcję ‘Script Analysis’.

• Można również monitorować programy, które próbują dokonać zmian w automatycznych wpisach (auto-run entries), usługach Windows i zaplanowanych zadaniach.

Informacje: Heurystyczna analiza linii poleceń: Techniki heurystyczne identyfikują nieznane wcześniej wirusy i trojany. Pliki są analizowane w celu ustalenia, czy zawierają kod typowy dla danego wirusa. Innymi słowy, heurystyka identyfikuje pliki, które mają atrybuty wirusopodobne, zamiast szukać sygnatury, która pasuje do sygnatury na czarnej liście. Dzięki temu silnik może przewidzieć istnienie nowych wirusów – nawet jeśli nie ma ich w aktualnej bazie wirusów. Wbudowane wykrywanie kodu: Wbudowane wykrywanie kodu chroni przed atakami/malwere’ami bezplikowymi. Ataki bez plików pozwalają złośliwym aktorom na bezpośrednie wykonywanie poleceń powershell w systemie. Za pomocą tych poleceń można przejąć kontrolę nad punktami końcowymi, zainstalować “okup” (ransomware), ukraść poufne dane i inne. Skrypty bez plików znajdują się w pamięci, więc po ponownym uruchomieniu komputera nie pozostaje po nich żaden ślad. Przykładowe programy, których dotyczy ta opcja to wscript.exe, cmd.exe, java.exe oraz javaw.exe. Na przykład, program wscript.exe może być wykonany do wykonywania wizualnych skryptów podstawowych (rozszerzenie pliku .vbs) za pomocą polecenia podobnego do ‘wscript.exe c:/tests/test.vbs’. Jeśli ta opcja jest wybrana, CCS wykrywa c:/tests/test.vbs z linii poleceń (command-line) i stosuje wszystkie kontrole bezpieczeństwa do tego pliku. Włączone – Jeżeli test.vbs próbuje połączyć się z Internetem, alarm będzie zawierał informację “test.vbs”, że próbuje się połączyć z Internetem. Wyłączony – Alarm będzie zawierał tylko informację, że “wscript.exe” próbuje się połączyć z Internetem”.

Aby skonfigurować ustawienia “Script Analysis”

• Kliknij ‘Configuration Templates’ > ‘Profiles’

• Kliknij nazwę profilu Windows

• Kliknij ‘Add Profile Section’ > ‘Script Analysis’

Ekran ustawień “Script Analysis” zawiera trzy zakładki:

• General Settings – Włącz analizę skryptu i ustaw maksymalny rozmiar pliku, który powinien być sprawdzony.

• Runtime Detection – Wybierz, które programy są monitorowane podczas ich działania.

• Autoruns Scan – Wybierz programy, które chcesz monitorować, aby sprawdzić, czy wprowadzają one zmiany w automatycznie uruchamianych wpisach (auto-run entries), usługach Windows i zaplanowanych zadaniach.

General Settings

• Perform Script Analysis – Włącz/wyłącz analizę skryptów. CCS będzie analizował aplikacje wybrane w zakładce “Runtime Detection” tylko wtedy, gdy opcja ta jest włączona. W przypadku wykrycia złośliwego kodu w dowolnym elemencie generowany jest alert. (Domyślnie = Włączone)

• Limit the total size of saved detected scripts to – CCS przechowuje do analizy skrypty uruchamiane przez zarządzane aplikacje. Opcja ta pozwala określić całkowity rozmiar przechowywanych skryptów. Po osiągnięciu ustawionego limitu starsze skrypty są automatycznie usuwane. (Domyślnie = 100 KB)

Runtime Detection

• Pozwala wybrać pliki wykonywalne, które powinny być analizowane podczas ich wykonywania.

• Możesz również dodać własne aplikacje, które chcesz chronić.

• Kliknij zakładkę “Runtime Detection” w interfejsie ustawień “Script Analysis”.

• • Użyj przełącznika w kolumnie “Heuristic Command-Line Analysis”, aby włączyć/wyłączyć heurystyczną analizę wiersza poleceń dla każdej aplikacji.
  • Użyj przełącznika w kolumnie “Embedded Code Detection”, aby włączyć/wyłączyć wykrywanie kodu wbudowanego dla każdej aplikacji.
• Wybierz aplikację i kliknij przycisk edycji, aby zaktualizować jej szczegóły.
• Wybierz aplikację i kliknij ikonę kosza, aby usunąć ją z listy.
• Kliknij przycisk “Add” u góry, aby dodać nową aplikację do listy.

• • Wprowadź nazwę aplikacji w oknie dialogowym “Add Application” i kliknij “Add”.
  • Nowa aplikacja zostanie dodana do listy i zostanie wybrana domyślnie. W każdej chwili można ją włączyć/wyłączyć za pomocą przełącznika znajdującego się obok niej.
  • Powtórz ten proces, aby dodać więcej aplikacji
• Aby zresetować listę do domyślnej listy aplikacji, kliknij “Reset to Default” na górze.
• Kliknij “OK”, aby zastosować swoje , a następnie przycisk “Save”.

Autoruns Scan

• Wybierz aplikacje, które powinny być monitorowane w przypadku, gdy dokonują zmian w autorunach, usługach Windows lub zaplanowanych zadaniach.
• Można również dodać własne aplikacje, które mają być monitorowane.
• Kliknij zakładkę “Autoruns Scan” w interfejsie ustawień “Script Analysis”.

• • Użyj przełącznika w kolumnie “Heuristic Command-Line Analysis”, aby włączyć/wyłączyć heurystyczną analizę wiersza poleceń dla każdej aplikacji.
  • Użyj przełącznika w kolumnie “Embedded Code Detection”, aby włączyć/wyłączyć wykrywanie kodu wbudowanego dla każdej aplikacji.
• Wybierz aplikację i kliknij przycisk edycji, aby zaktualizować jej szczegóły.
• Wybierz aplikację i kliknij ikonę kosza, aby usunąć ją z listy.
• Kliknij przycisk “Add” u góry, aby dodać nową aplikację do listy.

• • Wprowadź nazwę aplikacji w oknie dialogowym “Add Application” i kliknij “Add”.
  • Nowa aplikacja zostanie dodana do listy i zostanie wybrana domyślnie. Możesz użyć przełącznika obok niego, aby włączyć/wyłączyć ją w dowolnym momencie.
  • Powtórz ten proces, aby dodać więcej aplikacji
• Aby zresetować listę do domyślnej listy aplikacji, kliknij “Reset to Default” na górze.
• Kliknij “OK”, aby zastosować swoje zmiany, a następnie przycisk “Save”.

Zobacz więcej na: help.comodo.com