บทสรุป
คุณอาจสังเกตเห็นเหตุการณ์บล็อกจํานวนมากในการเก็บรวบรวมในพอร์ทัล Microsoft Defender Advanced Threat Protection (MDATP) เหตุการณ์เหล่านี้ถูกสร้างขึ้นโดยกลไกจัดการ Code Integrity (CI) และสามารถระบุได้โดย ExploitGuardNonMicrosoftSignedBlocked ActionType
เหตุการณ์ตามที่เห็นในบันทึกเหตุการณ์ของจุดสิ้นสุด
|
ActionType |
ผู้ให้บริการ/แหล่งข้อมูล |
ID เหตุการณ์ |
คำอธิบาย |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
บล็อกตัวป้องกันความสมบูรณ์ของโค้ด |
เหตุการณ์ตามที่เห็นในไทม์ไลน์
กระบวนการ '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) ถูกบล็อกไม่ให้โหลดไบนารีที่ไม่มีลายเซ็นของ Microsoft '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
ข้อมูลเพิ่มเติม
กลไก CI จะตรวจสอบให้แน่ใจว่ามีเพียงไฟล์ที่เชื่อถือได้เท่านั้นที่สามารถเรียกใช้งานบนอุปกรณ์ได้ เมื่อ CI ถูกเปิดใช้งานและพบไฟล์ที่ไม่น่าเชื่อถือ จะสร้างเหตุการณ์บล็อก ในโหมดตรวจสอบ ไฟล์จะยังคงได้รับอนุญาตให้ปฏิบัติการ ในขณะที่ในโหมดบังคับใช้ ไฟล์จะถูกป้องกันไม่ให้เรียกใช้
สามารถเปิดใช้งาน CI ได้หลายวิธี รวมถึงเมื่อคุณปรับใช้นโยบาย Windows Defender Application Control (WDAC) อย่างไรก็ตาม ในสถานการณ์เช่นนี้ MDATP จะเปิดใช้งาน CI บนส่วนหลัง ซึ่งเป็นทริกเกอร์เหตุการณ์เมื่อพบไฟล์ Native Image (NI) ที่ไม่มีลายเซ็นซึ่งมาจาก Microsoft
การเซ็นชื่อไฟล์หมายถึงการเปิดใช้งานการตรวจสอบความถูกต้องของไฟล์นั้น CI สามารถตรวจสอบว่าไฟล์ไม่แก้ไขและมาจากผู้ออกใบรับรองที่เชื่อถือได้โดยยึดตามลายเซ็นของไฟล์ ไฟล์ส่วนใหญ่ที่มาจาก Microsoft จะได้รับการเซ็นชื่อ แต่ไฟล์บางไฟล์ไม่สามารถหรือไม่ได้ลงชื่อด้วยเหตุผลหลายประการ ตัวอย่างเช่น ไบนารี NI (คอมไพล์จากโค้ด .NET Framework) จะถูกเซ็นชื่อโดยทั่วไปถ้ารวมอยู่ในรุ่น อย่างไรก็ตาม โดยทั่วไปแล้วรายการเหล่านี้จะถูกสร้างขึ้นใหม่บนอุปกรณ์และไม่สามารถเซ็นชื่อได้ แยกแอปพลิเคชันหลายแอปพลิเคชันมีเฉพาะไฟล์ CAB หรือ MSI ที่เซ็นชื่อเพื่อตรวจสอบความถูกต้องเมื่อติดตั้งเท่านั้น เมื่อเรียกใช้ พวกเขาจะสร้างไฟล์เพิ่มเติมที่ไม่ได้เซ็นชื่อ
การบรรเทาปัญหา
เราไม่แนะนนะให้คุณละเว้นเหตุการณ์เหล่านี้เนื่องจากเหตุการณ์เหล่านี้สามารถระบุปัญหาด้านความปลอดภัยของแท้ได้ ตัวอย่างเช่น ผู้โจมตีที่เป็นอันตรายอาจพยายามโหลดไบนารีที่ไม่มีลายเซ็นภายใต้ Guise มาจาก Microsoft
อย่างไรก็ตาม เหตุการณ์เหล่านี้สามารถกรองได้โดยคิวรีเมื่อคุณพยายามวิเคราะห์เหตุการณ์อื่นๆ ในการคัดแยกเหตุการณ์ขั้นสูงโดยยกเว้นเหตุการณ์ที่มี ExploitGuardNonMicrosoftSignedBlocked ActionType
คิวรีนี้จะแสดงเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับการตรวจหาเกินนี้โดยเฉพาะอย่างยิ่ง:
Device Avents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
| เมื่อประทับเวลา >(7d)
ถ้าคุณต้องการยกเว้นเหตุการณ์นี้ คุณจะต้องแปลงคิวรี ซึ่งจะแสดงเหตุการณ์ ExploitGuard (รวมถึง EP) ทั้งหมด ยกเว้นเหตุการณ์เหล่านี้:
Device Avents
| เมื่อ ActionType เริ่มต้นด้วย "ExploitGuard"
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" หรือ (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe") หรือ (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" และ FileName !endswith "ni.dll")
| เมื่อประทับเวลา >(7d)
นอกจากนี้ ถ้าคุณใช้ .NET Framework 4.5 หรือเวอร์ชันที่ใหม่กว่า คุณจะมีตัวเลือกในการสร้างไฟล์ NI ใหม่เพื่อแก้ไขเหตุการณ์ที่ไม่ต้องใช้มากมาย เมื่อต้องการลบไฟล์ NI ทั้งหมดในไดเรกทอรี NativeImages แล้วเรียกใช้สั่งการอัปเดตngen เพื่อสร้างใหม่
