Összegzés
A Microsoft Defender Advanced Threat Protection (MDATP) portálon nagyon sok blokkeseményt tapasztalhat. Ezeket az eseményeket a Kódintegritási (CI) motor hozza létre, és az ExploitGuardNonMicrosoftSignedBlocked ActionType azonosítja őket.
A végpont eseménynaplójában látható esemény
|
ActionType |
Szolgáltató/forrás |
Eseményazonosító |
Leírás |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Kódintegritási védőblokk |
Az idővonalon látható esemény
A \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe folyamat (PID 8780) nem tudta betölteni a nem Microsoft által aláírt '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll' bináris fájlt.
További információ
A CI-motor gondoskodik arról, hogy csak megbízható fájlok legyenek futtathatók egy eszközön. Ha a CI engedélyezve van, és nem megbízható fájllal találkozik, blokkeseményt hoz létre. Naplózási módban a fájl továbbra is futtatható, kényszerítési módban azonban a fájl végrehajtása nem lehetséges.
A CI többféleképpen engedélyezhető, például a Windows Defender alkalmazásvezérlési (WDAC) szabályzatának telepítésekor. Ebben az esetben azonban az MDATP engedélyezi a CI-t a háttérrendszeren, ami eseményeket vált ki, amikor a Microsofttól származó aláíratlan natív képfájlokkal (NI) találkozik.
A fájlok aláírása lehetővé teszi a fájlok hitelességének ellenőrzését. A CI ellenőrizheti, hogy a fájl módosítatlan-e, és az aláírása alapján megbízható szolgáltatótól származik-e. A Microsofttól származó fájlok többsége aláírással van ellátva, azonban bizonyos fájlok különböző okokból nem lehetnek vagy nincsenek aláírva. Például a (.NET-keretrendszer kódból összeállított) NI bináris fájlok általában alá vannak írva, ha egy kiadásban szerepelnek. Ezek azonban általában újra létrejönnek egy eszközön, és nem írhatók alá. Emellett számos alkalmazás csak a CAB- vagy MSI-fájllal rendelkezik, hogy a telepítéskor ellenőrizze azok hitelességét. A futtatáskor további fájlokat hoznak létre, amelyek nincsenek aláírva.
Mérséklés
Nem javasoljuk, hogy hagyja figyelmen kívül ezeket az eseményeket, mivel ezek valódi biztonsági problémákra utalhatnak. Egy rosszindulatú támadó például megpróbálhat betölteni egy aláíratlan bináris fájlt a Microsofttól származó álarc alatt.
Ezek az események azonban lekérdezéssel szűrhetők, ha más eseményeket próbál elemezni a Speciális veszélyforrás-keresésben az ExploitGuardNonMicrosoftSignedBlocked ActionType művelettípussal rendelkező események kizárásával.
Ez a lekérdezés az adott túlzott észleléssel kapcsolatos összes eseményt megjeleníti:
DeviceEvents | where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" és InitiatingProcessFileName == "powershell.exe" és FileName végződése "ni.dll" | where Timestamp > ago(7d)
Ha ki szeretné zárni ezt az eseményt, akkor invertálnia kell a lekérdezést. Ez a következők kivételével az összes ExploitGuard -eseményt megjeleníti (az EP-t is beleértve):
DeviceEvents | where ActionType startswith "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" vagy (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" és InitiatingProcessFileName != "powershell.exe") vagy (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" és InitiatingProcessFileName == "powershell.exe" és FileName !endswith "ni.dll") | where Timestamp > ago(7d)
Ha .NET-keretrendszer 4.5-ös vagy újabb verziót használ, újragenerálhatja az NI-fájlokat a felesleges események nagy részének feloldásához. Ehhez törölje az összes NI-fájlt a NativeImages könyvtárból, majd futtassa az ngen update parancsot az újragenerálásukhoz.
