Tóm tắt
Bạn có thể nhận thấy một số lượng rất lớn các sự kiện chặn thu thập trong cổng thông tin Chống Mối đe dọa Nâng Microsoft Defender cấp (MDATP). Những sự kiện này được tạo ra bởi công cụ Code Integrity (CI) và có thể được xác định bởi ExploitGuardNonMicrosoftSignedBlocked ActionType của chúng.
Sự kiện như hiển thị trong nhật ký sự kiện điểm cuối
|
ActionType |
Nhà cung cấp/nguồn |
ID Sự kiện |
Mô tả |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Khối bảo vệ tính toàn vẹn mã |
Sự kiện như hiển thị trong dòng thời gian
Quá trình '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) đã bị chặn tải nhị phân không được microsoft ký '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Thông tin khác
Công cụ CI đảm bảo rằng chỉ các tệp tin cậy mới được phép thực thi trên thiết bị. Khi ci được bật và gặp phải một tệp không đáng tin cậy, nó sẽ tạo ra một sự kiện khối. Trong chế độ Kiểm tra, tệp vẫn được phép thực thi, trong khi trong chế độ Thực thi, tệp bị ngăn thực thi.
Ci có thể được kích hoạt theo một số cách bao gồm cả khi bạn triển khai chính sách Kiểm soát Ứng dụng của Bộ bảo vệ Windows (WDAC). Tuy nhiên, trong tình huống này, MDATP cho phép CI ở phía sau, đó là kích hoạt các sự kiện khi gặp phải unsigned Native Image (NI) tập tin có nguồn gốc từ Microsoft.
Việc ký một tệp nhằm cho phép xác minh tính xác thực của tệp đó. CI có thể xác minh rằng tệp không được sửa đổi và có nguồn gốc từ một cơ quan đáng tin cậy dựa trên chữ ký của tệp đó. Hầu hết các tệp có nguồn gốc từ Microsoft đều được ký, tuy nhiên, một số tệp không thể hoặc không được ký vì nhiều lý do khác nhau. Ví dụ: các nhị phân NI (được biên dịch từ mã .NET Framework) thường được ký nếu chúng được bao gồm trong bản phát hành. Tuy nhiên, chúng thường được tạo lại trên thiết bị và không thể được ký. Một cách riêng biệt, nhiều ứng dụng chỉ có tệp CAB hoặc MSI của họ ký để xác minh tính xác thực của chúng khi cài đặt. Khi chạy, họ sẽ tạo các tệp bổ sung chưa được ký.
Sự làm dịu
Chúng tôi khuyên bạn không nên bỏ qua các sự kiện này vì chúng có thể chỉ ra các sự cố bảo mật chính hãng. Ví dụ: kẻ tấn công độc hại có thể cố gắng tải một nhị phân không dấu dưới đường dẫn có nguồn gốc từ Microsoft.
Tuy nhiên, các sự kiện này có thể được lọc theo truy vấn khi bạn cố gắng phân tích các sự kiện khác trong Advanced Hunting bằng cách loại trừ các sự kiện có ExploitGuardNonMicrosoftSignedBlocked ActionType.
Truy vấn này sẽ hiển thị cho bạn tất cả các sự kiện liên quan đến phát hiện quá hạn cụ thể này:
DeviceEvents | trong đó ActionType == "ExploitGuardNonMicrosoftSignedBlocked" và InitiatingProcessFileName == "powershell.exe" và FileName kết thúc bằng "ni.dll" | trong đó Timestamp > ago(7d)
Nếu bạn muốn loại trừ sự kiện này, bạn sẽ phải đảo truy vấn. Thao tác này sẽ hiển thị tất cả các sự kiện ExploitGuard (bao gồm ep) ngoại trừ các sự kiện sau:
DeviceEvents | trong đó ActionType bắt đầu với "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe") hoặc (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" và FileName !endswith "ni.dll") | trong đó Timestamp > ago(7d)
Ngoài ra, nếu bạn sử dụng .NET Framework 4.5 hoặc phiên bản mới hơn, bạn có tùy chọn tái tạo tệp NI để giải quyết nhiều sự kiện không cần thiết. Để làm điều này, hãy xóa tất cả các tệp NI trong thư mục NativeImages và sau đó chạy lệnh cập nhật ngen để tái tạo chúng.
