Kompüterdə hər şey görünən deyil. Bəzən arxa planda işləyən gizli işlər olur. Bunlara “proses” deyilir. Normalda bu proseslər sistemin işləməsi üçün lazımdır. Amma bəzən zərərli proqramlar da proses kimi işləyir. Məsələn, virus özünü normal proqram kimi göstərir. Buna görə də onları ayırmaq vacibdir.
Şübhəli prosesləri tapmaq üçün ilk olaraq “Task Manager” açılır. Orda hansı proqramlar işləyir, görünür. Tanımadığın bir ad varsa, diqqət eləmək lazımdır. Məsələn, svch0st.exe yazılıbsa, bu saxta ola bilər. Çünki orijinalı svchost.exe olmalıdı. Bəzən viruslar adını bir hərf dəyişdirib gizlənir. Prosesin haradan işə düşdüyü də önəmlidir. Normal proqramlar C:\Program Files-dən işləyir. Amma zərərli olanlar çox vaxt Temp, AppData, Downloads qovluqlarından işləyir. O biri məsələ prosesin çox RAM və CPU istifadə etməsidir. Əgər heç nə açmamısan, amma kompüter donursa, şübhəli bir proses ola bilər. Həmçinin prosesin internetə qoşulması da izlənməlidir. Məsələn, kompüter heç nə etmir, amma arxa planda kimsə ilə əlaqə saxlayır. Onda bilin ki, nəsə düzgün deyil. Bu əlaqə çox vaxt kiberhücum edənlərin serverinə gedir. Buna “C2 server” deyilir. Antivirus bəzən tapmır. Ona görə əlavə vasitələr lazımdır. Məsələn, “Process Explorer” aləti ilə daha dərindən baxmaq olur. Bu proqram göstərir prosesin adı nədir, haradandır, nə iş görür. Şübhəli proseslər bəzən gizli işləyir. Sistemdə görünmür. Onlara qarşı da xüsusi alətlər var. Məsələn, “EDR” və ya “SIEM” proqramları. Onlar hər şeyi izləyir. Prosesi başladan proqram da önəmlidir. Məsələn, Word sənədi açırsan, bir də görürsən, PowerShell işləyir. Bu normal deyil. Virus çox vaxt bu yolla özünü işə salır. Bəzən viruslar faylları gizlicə dəyişir. Məsələn, sənədin adını saxlayır, amma içində zərərli kod olur. O da işləyəndə sistemə yoluxur. Hər prosesin arxasında bir proqram dayanır. Əgər o proqram imzasızdırsa, yəni kim yazıb bəlli deyilsə, bu təhlükəlidir. Normal proqramlar imzalanır. Yəni Microsoft və ya tanınmış şirkət tərəfindən yoxlanıb. Amma viruslar imzasız olur. Ona görə onları tanımaq olur. Bəzən viruslar DLL faylları ilə özünü sistemə yerləşdirir. Bu da çox yayılmış üsuldur. O tip viruslar sistemin vacib hissələrinə girir. Prosesin başladığı vaxt da vacibdir. Sistem yeni açılıbsa və birdən nəsə başlayırsa, diqqət elə. Xüsusilə sən heç nə açmamısansa. Həmçinin, proses hansı istifadəçi ilə işləyir, bu da önəmlidir. Admin icazəsi ilə işləyən şübhəli proses daha təhlükəlidir. Bəzən bir proses digər prosesi də işə salır. Məsələn, brauzer açılır, o da yanında bir virus prosesi işə salır. Ona görə valideyn-uşaq əlaqəsi də izlənməlidir. Antivirus bu prosesi tuta bilməsə belə, loqlar (gündəlik qeydlər) vasitəsilə tapmaq olar. SIEM proqramları bu loqları toplayır. Ordan baxanda görünür nə zaman nə başlayıb. Bəzən zərərli proses özünü gizlədir. Adi yerdə olmur, adını dəyişir. Onu tapmaq üçün “autoruns” proqramı ilə baxmaq lazımdır. Həmçinin, virus çox vaxt eyni anda bir neçə prosesi başladır. Onlar sistemdə birdən yayılır. Bu zaman RAM dolur, CPU artır, fan fırlanır. Kompüter səs edir, yəni nəsə baş verir. Belə vəziyyətdə dərhal proseslərə baxmaq lazımdır. Məsələn, sən heç bir proqram açmamısan, amma sistemdə cmd.exe, powershell.exe, wscript.exe görünürsə, problem var. Çünki bu alətlər viruslar tərəfindən çox istifadə olunur. Onlar kod icra eləmək üçün əla vasitədir. Viruslar çox vaxt bu proseslərlə sistemin içinə girir. Bəzən proseslər Task Scheduler ilə işə salınır. Gecə, heç kim kompüterdə deyilsə belə, işə düşür. Buna görə “Task Scheduler”ə baxıb şübhəli tapşırıqları silmək lazımdır. Prosesləri analiz etmək üçün online vasitələr də var. VirusTotal kimi sayta şübhəli faylı yükləyirsən, deyir bu təhlükəlidir ya yox. Həmçinin, “Any.Run” kimi saytlar var ki, faylı sandbox-da işə salıb nə etdiyini göstərir. Bunlar pulsuzdur və çox faydalıdır. Komandada işləyirsənsə, bu məlumatları başqaları ilə paylaşmaq da vacibdir. Zərərli prosesin IP ünvanını, fayl yolunu, adı və vaxtını qeyd elə. Bu IOC (Indicator of Compromise) adlanır. Onları SIEM-ə əlavə etmək olar. Beləcə gələcəkdə bu cür prosesləri avtomatik tanıyacaq. Əgər şübhəli proses tapdınsa, onu dərhal “End Task” ilə bağlama. Əvvəlcə analiz elə. Əgər əminsənsə ki, zərərli prosesdir, onda sil. Amma ehtiyatlı ol. Bəzən əsas sistem faylını da silə bilərsən. Ən yaxşısı, əvvəl backup eləməkdir. Daha sonra antivirusla dərin skan elə. Şübhəli prosesin yerləşdiyi faylı karantinə almaq olar. Həmçinin, internetə çıxışını firewall ilə bağlamaq mümkündür. Bu da təhlükəsizlik üçün faydalıdır. Əgər bir sistemdə belə proses tapmısansa, o biri kompüterlərdə də bax. Çünki bu zərərli proses şəbəkə ilə yayılmış ola bilər. Kompüterləri tez-tez yoxlamaq lazımdır. Təhlükəli proseslər bəzən “ransomware” ola bilər. Faylları gizlincə şifrələyib, sonda pul istəyir. Bu proseslərə qarşı da diqqətli ol. Əgər fayllar .locked və ya .encrypted kimi görünürsə, dərhal sistemdən şəbəkə kabelini çıxart. Hər prosesin detalları ilə maraqlan. Ad, yol, istifadəçi, başlama vaxtı, əlaqə qurduğu IP – hamısı vacibdir. SOC analitikləri bu prosesi hər gün izləyirlər. Bu onların əsas işidir. Nəticə olaraq, şübhəli prosesləri tanımaq üçün diqqətli olmaq, alətlərdən istifadə etmək və davranışı müşahidə etmək vacibdir. Heç bir prosesə kor-koranə güvənmək olmaz. “Zero Trust” yanaşması ilə hər prosesi yoxlamaq lazımdır. Əgər diqqətli olsan, sistemi viruslardan qoruya bilərsən. Təhlükə vaxtında aşkarlanarsa, ziyan az olar. Təcrübə ilə bunu asanlıqla öyrənmək mümkündür.
