סיכום
ייתכן שתבחין במספר גדול מאוד של אירועי חסימה הנאספים בפורטל 'הגנה מתקדמת מפני Microsoft Defender (MDATP)'. אירועים אלה נוצרים על-ידי מנגנון תקינות קוד (CI) ובאפשרותך לזהות אותם באמצעות ExploitGuardNonMicrosoftSignedBlocked ActionType שלהם.
אירוע כפי שנראה ביומן האירועים של נקודת הקצה
|
סוג פעולה |
ספק/מקור |
מזהה האירוע |
תיאור |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
בלוק שומר תקינות קוד |
אירוע כפי שנראה בציר הזמן
טעינת הקובץ '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) שאינה חתומה על-ידי Microsoft'\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
מידע נוסף
מנוע CI מבטיח שרק קבצים מהימנים יורשו לבצע במכשיר. כאשר CI זמין ויתקל בקובץ לא מהימן, הוא יוצר אירוע חסימה. במצב ביקורת, הקובץ עדיין מורשה לבצע, בעוד שמצב אכוף מונע את ביצוע הקובץ.
ניתן להפוך CI לזמין בכמה דרכים, כולל בעת פריסת מדיניות בקרת אפליקציות של Windows Defender (WDAC). עם זאת, במצב זה, MDATP מאפשר CI בקצה האחורי, אשר מפעילה אירועים כאשר הוא נתקל קבצי Native Image (NI) לא רשומים שמקורם ב- Microsoft.
חתימת קובץ נועדה לאפשר אימות של מקוריות קבצים אלה. CI יכול לוודא שקובץ לא השתנות ומקורו ברשות מהימנה בהתבסס על החתימה שלו. רוב הקבצים שמקורם ב- Microsoft חתומים, אך קבצים מסוימים אינם יכולים להיות חתומים או אינם חתומים מסיבות שונות. לדוגמה, קבצים בינאריים של NI (.NET Framework מהקוד) חתומים בדרך כלל אם הם כלולים במהדורה. עם זאת, בדרך כלל הם נוצרים מחדש במכשיר ולא ניתן להוסיף להם חתימה. בנפרד, אפליקציות רבות כוללות רק קובץ CAB או MSI חתום כדי לאמת את המקוריות שלהן בהתקנה. כאשר הם פועלים, הם יוצרים קבצים נוספים שאינם חתומים.
צמצום סיכונים
איננו ממליצים להתעלם מאירועים אלה, כי הם יכולים לציין בעיות אבטחה מקוריות. לדוגמה, תוקף זדוני עשוי לנסות לטעון בינארי לא רשום תחת הכותרת מקורו מ- Microsoft.
עם זאת, ניתן לסנן אירועים אלה לפי שאילתה כאשר אתה מנסה לנתח אירועים אחרים בה ציד מתקדם על-ידי אי-הכללת אירועים הכוללים את ExploitGuardNonMicrosoftSignedBlocked ActionType.
שאילתה זו תציג לך את כל האירועים הקשורים לגילוי-על מסוים זה:
הגדרות מכשירים | where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" ו- InitiatingProcessFileName == "powershell.exe" ו- FileName מסתיים עם "ni.dll" | where Timestamp > ago(7d)
אם ברצונך לא לכלול אירוע זה, תצטרך להפוך את השאילתה. פעולה זו תציג את כל אירועי ExploitGuard (כולל EP), למעט האירועים הבאים:
הגדרות מכשירים | כאשר ActionType מתחיל ב- "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" או (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" ו- InitiatingProcessFileName != "powershell.exe") או (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" והתחלתProcessFileName == "powershell.exe" ו- FileName !endswith "ni.dll") | where Timestamp > ago(7d)
בנוסף, אם אתה משתמש ב- .NET Framework 4.5 או בגירסה מתקדמת יותר, יש לך אפשרות ליצור מחדש קבצי NI כדי לפתור רבים מהאירועים הנופים. לשם כך, מחק את כל קבצי NI בספריה NativeImages ולאחר מכן הפעל את פקודת העדכון ngen כדי ליצור אותם מחדש.
