Een van die mees algemene tipes aanvalle is die voortplanting van 'n kwaadwillige proses in 'n boom onder heeltemal respekvolle prosesse. Die pad na die uitvoerbare lêer kan verdag wees: wanware gebruik dikwels die AppData- of Temp-vouers, en dit is nie tipies vir wettige programme nie. Om eerlik te wees, is dit die moeite werd om te sê dat sommige outomatiese opdateringshulpprogramme in AppData uitgevoer word, dus is dit nie genoeg om net die bekendstellingsligging na te gaan om te bevestig dat die program kwaadwillig is nie.
'n Bykomende faktor van legitimiteit is 'n kriptografiese handtekening: baie oorspronklike programme word deur die verkoper onderteken. U kan die feit dat daar geen handtekening is nie as 'n metode gebruik om verdagte opstartitems te identifiseer. Maar dan is daar weer wanware wat 'n gesteelde sertifikaat gebruik om homself te teken.
U kan ook die waarde van MD5 of SHA256 kriptografiese hashes nagaan, wat dalk ooreenstem met sommige voorheen bespeurde wanware. Jy kan statiese ontleding uitvoer deur na handtekeninge in die program te kyk (deur Yara-reëls of antivirusprodukte te gebruik). Daar is ook dinamiese analise (die bestuur van 'n program in 'n veilige omgewing en die monitering van die aksies daarvan) en omgekeerde ingenieurswese.
Daar kan baie tekens van 'n kwaadwillige proses wees. In hierdie artikel sal ons jou vertel hoe om ouditering van relevante gebeurtenisse in Windows moontlik te maak, ons sal die tekens ontleed waarop die ingeboude reël staatmaak
Wanneer die program geloods word, word dit in die rekenaar se geheue gelaai. Die uitvoerbare lêer bevat rekenaarinstruksies en ondersteunende biblioteke (byvoorbeeld, *.dll). Wanneer 'n proses reeds aan die gang is, kan dit bykomende drade skep. Drade laat 'n proses toe om verskillende stelle instruksies gelyktydig uit te voer. Daar is baie maniere waarop kwaadwillige kode geheue binnedring en hardloop, kom ons kyk na sommige van hulle.
Die maklikste manier om 'n kwaadwillige proses te begin, is om die gebruiker te dwing om dit direk te begin (byvoorbeeld vanaf 'n e-posaanhegsel), en gebruik dan die RunOnce-sleutel om dit te begin elke keer as die rekenaar aangeskakel word. Dit sluit ook "lêerlose" wanware in wat PowerShell-skrifte stoor in registersleutels wat uitgevoer word op grond van 'n sneller. In hierdie geval is die PowerShell-skrip kwaadwillige kode.
Die probleem met uitdruklike wanware is dat dit 'n bekende benadering is wat maklik opgespoor kan word. Sommige wanware doen meer slim dinge, soos om 'n ander proses te gebruik om in die geheue te begin uitvoer. Daarom kan 'n proses 'n ander proses skep deur 'n spesifieke rekenaarinstruksie uit te voer en 'n uitvoerbare lêer (.exe) te spesifiseer om uit te voer.
Die lêer kan gespesifiseer word deur 'n volledige pad (byvoorbeeld C:Windowssystem32cmd.exe) of 'n gedeeltelike pad (byvoorbeeld cmd.exe) te gebruik. As die oorspronklike proses onseker is, sal dit onwettige programme laat loop. 'n Aanval kan so lyk: 'n proses loods cmd.exe sonder om die volle pad te spesifiseer, die aanvaller plaas sy cmd.exe op 'n plek sodat die proses dit voor die wettige een loods. Sodra die wanware loop, kan dit op sy beurt 'n wettige program (soos C:Windowssystem32cmd.exe) begin sodat die oorspronklike program steeds behoorlik werk.
'N Variasie van die vorige aanval is DLL-inspuiting in 'n wettige proses. Wanneer 'n proses begin, vind en laai dit biblioteke wat sy funksionaliteit uitbrei. Deur DLL-inspuiting te gebruik, skep 'n aanvaller 'n kwaadwillige biblioteek met dieselfde naam en API as 'n wettige een. Die program laai 'n kwaadwillige biblioteek, en dit laai op sy beurt 'n wettige een, en, soos nodig, roep dit om operasies uit te voer. Die kwaadwillige biblioteek begin optree as 'n gevolmagtigde vir die goeie biblioteek.
Nog 'n manier om kwaadwillige kode in die geheue te plaas, is om dit in 'n onveilige proses in te voeg wat reeds aan die gang is. Prosesse ontvang insette van verskeie bronne – lees vanaf die netwerk of lêers. Hulle voer gewoonlik 'n kontrole uit om te verseker dat die insette wettig is. Maar sommige prosesse het nie behoorlike beskerming wanneer instruksies uitgevoer word nie. In hierdie aanval is daar geen biblioteek op skyf of uitvoerbare lêer wat kwaadwillige kode bevat nie. Alles word in die geheue gestoor saam met die proses wat uitgebuit word.
Kom ons kyk nou na die metodologie om die versameling van sulke gebeurtenisse in Windows moontlik te maak en die reël in InTrust wat beskerming teen sulke bedreigings implementeer. Kom ons aktiveer dit eers deur die InTrust-bestuurskonsole.
Die reël gebruik die prosesopsporingsvermoëns van Windows OS. Ongelukkig is dit ver van voor die hand liggend om die versameling van sulke gebeurtenisse moontlik te maak. Daar is 3 verskillende Groepbeleid-instellings wat jy moet verander:
Rekenaaropstelling > Beleide > Windows-instellings > Sekuriteitsinstellings > Plaaslike beleide > Ouditbeleid > Ouditprosesnasporing
Rekenaaropstelling > Beleide > Windows-instellings > Sekuriteitsinstellings > Gevorderde ouditbeleidkonfigurasie > Ouditbeleide > Gedetailleerde dop > Ouditprosesskepping
Rekenaaropstelling > Beleide > Administratiewe sjablone > Stelsel > Ouditprosesskepping > Sluit opdragreël in by prosesskeppingsgebeurtenisse
Sodra dit geaktiveer is, laat InTrust-reëls jou toe om voorheen onbekende bedreigings op te spoor wat verdagte gedrag toon. Byvoorbeeld, jy kan identifiseer
In sy ketting van aksies gebruik Dridex schtasks.exe om 'n geskeduleerde taak te skep. Die gebruik van hierdie spesifieke nut vanaf die opdragreël word as baie verdagte gedrag beskou; die bekendstelling van svchost.exe met parameters wat na gebruikersvouers wys of met parameters soortgelyk aan die "net view" of "whoami" opdragte lyk soortgelyk. Hier is 'n fragment van die ooreenstemmende
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
In InTrust is alle verdagte gedrag in een reël ingesluit, want die meeste van hierdie aksies is nie spesifiek vir 'n spesifieke bedreiging nie, maar eerder verdag in 'n kompleks en word in 99% van gevalle vir nie heeltemal edele doeleindes gebruik nie. Hierdie lys van aksies sluit in, maar is nie beperk nie tot:
- Prosesse loop vanaf ongewone liggings, soos gebruiker se tydelike dopgehou.
- Bekende stelselproses met verdagte oorerwing - sommige bedreigings kan probeer om die naam van stelselprosesse te gebruik om onopgemerk te bly.
- Verdagte uitvoerings van administratiewe gereedskap soos cmd of PsExec wanneer hulle plaaslike stelsel geloofsbriewe of verdagte oorerwing gebruik.
- Verdagte skadu-kopie-bewerkings is 'n algemene gedrag van ransomware-virusse voordat 'n stelsel geënkripteer word; dit maak rugsteun dood:
- Via vssadmin.exe;
- Via WMI. - Registreer stortings van hele registerkorwe.
- Horisontale beweging van kwaadwillige kode wanneer 'n proses oor 'n afstand geloods word deur opdragte soos at.exe te gebruik.
- Verdagte plaaslike groepbedrywighede en domeinbedrywighede met behulp van net.exe.
- Verdagte brandmuuraktiwiteit wat netsh.exe gebruik.
- Verdagte manipulasie van die ACL.
- Gebruik BITS vir data-eksfiltrasie.
- Verdagte manipulasies met WMI.
- Verdagte skrifopdragte.
- Pogings om veilige stelsellêers te stort.
Die gekombineerde reël werk baie goed om bedreigings soos RUYK, LockerGoga en ander losprysware, wanware en kubermisdaadhulpmiddelstelle op te spoor. Die reël is deur die verkoper in produksie-omgewings getoets om vals positiewe te verminder. En danksy die SIGMA-projek produseer die meeste van hierdie aanwysers 'n minimale aantal geraasgebeurtenisse.
Omdat In InTrust is dit 'n moniteringsreël, jy kan 'n antwoordskrif uitvoer as 'n reaksie op 'n bedreiging. Jy kan een van die ingeboude skrifte gebruik of jou eie skep en InTrust sal dit outomaties versprei.
Daarbenewens kan jy alle gebeurtenisverwante telemetrie inspekteer: PowerShell-skrifte, prosesuitvoering, geskeduleerde taakmanipulasies, WMI administratiewe aktiwiteit, en dit vir nadoodse ondersoeke tydens sekuriteitsinsidente gebruik.
InTrust het honderde ander reëls, sommige van hulle:
- Om 'n PowerShell-afgradering-aanval op te spoor is wanneer iemand doelbewus 'n ouer weergawe van PowerShell gebruik omdat... in die ouer weergawe was daar geen manier om te oudit wat gebeur het nie.
- Hoëbevoorregte-aanmeldingopsporing is wanneer rekeninge wat lede van 'n sekere bevoorregte groep is (soos domeinadministrateurs) per ongeluk of as gevolg van sekuriteitsinsidente by werkstasies aanmeld.
InTrust laat jou toe om die beste sekuriteitspraktyke te gebruik in die vorm van voorafbepaalde opsporing- en reaksiereëls. En as jy dink dat iets anders moet werk, kan jy jou eie kopie van die reël maak en dit opstel soos nodig. Jy kan 'n aansoek indien vir die uitvoer van 'n loods of die verkryging van verspreidingsstelle met tydelike lisensies deur
Teken in op ons
Lees ons ander artikels oor inligtingsekuriteit:
Bron: will.com