Адна з часта сустракаемых тыпаў нападаў - спараджэнне зламыснага працэсу ў дрэве пад суцэль сабе добрапрыстойнымі працэсамі. Падазрэнне можа выклікаць шлях да выкананага файла: часцяком шкоднаснае ПА выкарыстоўвае тэчкі AppData або Temp, а гэта нехарактэрна для легітымных праграм. Дзеля справядлівасці, варта сказаць, што некаторыя ўтыліты аўтаматычнага абнаўлення выконваюцца ў AppData, таму адной толькі праверкі месца запуску недастаткова для зацвярджэння, што праграма з'яўляецца шкоднаснай.
Дадатковы фактар легітымнасці - крыптаграфічны подпіс: многія арыгінальныя праграмы падпісаны вендарам. Можна выкарыстоўваць факт адсутнасці подпісу як метад выяўлення падазроных элементаў аўтазагрузкі. Але зноў жа ёсць шкоднаснае ПЗ, якое выкарыстоўвае скрадзены сертыфікат, каб падпісаць самога сябе.
Яшчэ можна правяраць значэнне крыптаграфічных хэшаў MD5 або SHA256, якія могуць адпавядаць некаторым раней выяўленым шкоднасным праграмам. Можна выконваць статычны аналіз, праглядаючы сігнатуры ў праграме (з дапамогай правіл Yara ці антывірусных прадуктаў). А яшчэ ёсць дынамічны аналіз (запуск праграмы ў які-небудзь бяспечным асяроддзі і адсочванне яе дзеяння) і рэверс-інжынірынг.
Прыкмет зламыснага працэсу можа быць маса. У гэтым артыкуле мы раскажам як уключыць аўдыт адпаведных падзей у Windows, разбяром прыкметы, на якія абапіраецца ўбудаванае правіла для выяўленне падазронага працэсу. InTrust - гэта для збору, аналізу і захоўванні неструктураваных дадзеных, у якой ёсць ужо сотні прадусталяваных рэакцый на розныя тыпы нападаў.
Пры запуску праграмы, яна загружаецца ў памяць кампутара. Выконваны файл утрымоўвае кампутарныя інструкцыі і дапаможныя бібліятэкі (напрыклад, *.dll). Калі працэс ужо запушчаны, ён можа ствараць дадатковыя плыні. Струмені дазваляюць працэсу выконваць розныя наборы інструкцый адначасова. Існуе шмат спосабаў пранікнення шкоднаснага кода ў памяць і яго запуску, разгледзім некаторыя з іх.
Самы просты спосаб запусціць шкоднасны працэс - прымусіць карыстальніка запусціць яго напрамую (напрыклад, з укладання электроннай пошты), затым пры дапамозе ключа RunOnce запускаць яго пры кожным уключэнні кампутара. Сюды ж можна аднесці "безфайлавае" шкоднаснае ПА, якое захоўвае скрыпты PowerShell у ключах рэестра, якія выконваюцца на аснове трыгера. У гэтым выпадку сцэнар PowerShell з'яўляецца шкоднасным кодам.
Праблема з відавочным запускам шкоднаснага праграмнага забеспячэння заключаецца ў тым, што гэта вядомы падыход, які лёгка выяўляецца. Некаторыя шкоднасныя праграмы робяць больш хітрыя рэчы, напрыклад, выкарыстоўваюць іншы працэс, каб пачаць выконвацца ў памяці. Такім чынам, працэс можа стварыць іншы працэс, запусціўшы вызначаную кампутарную інструкцыю і паказаўшы выкананы файл (.exe) для запуску.
Файл можна пазначыць, выкарыстоўваючы поўны шлях (напрыклад, C:Windowssystem32cmd.exe) або няпоўны (напрыклад, cmd.exe). Калі зыходны працэс небяспечны, ён дазволіць запускаць нелегітымныя праграмы. Атака можа выглядаць так: працэс запускае cmd.exe без указання поўнага шляху, зламыснік змяшчае свой cmd.exe у такое месца, каб працэс запусціў яго раней легітымнага. Пасля запуску шкоднаснай праграмы яна, у сваю чаргу, можа запусціць легітымную праграму (напрыклад, C:Windowssystem32cmd.exe), каб зыходная праграма працягвала працаваць належным чынам.
Разнавіднасць папярэдняй атакі – DLL-ін'екцыя ў легітымны працэс. Калі працэс запускаецца, ён знаходзіць і загружае бібліятэкі, якія пашыраюць яго функцыянальныя магчымасці. Выкарыстоўваючы DLL-ін'екцыю, зламыснік стварае шкоднасную бібліятэку з тым жа імем і API, што і ў легітымнай. Праграма загружае шкодную бібліятэку, а яна, у сваю чаргу, загружае легітымную, і, па меры неабходнасці, для выканання аперацый, выклікае яе. Шкодная бібліятэка пачынае выконваць ролю проксі для добрай бібліятэкі.
Яшчэ адзін спосаб змясціць шкоднасны код у памяць - уставіць яго ў небяспечны працэс, які ўжо запушчаны. Працэсы атрымліваюць уваходныя дадзеныя з розных крыніц - чытаюць з сеткі або файлаў. Звычайна яны выконваюць праверку, каб упэўніцца ў легітымнасці ўваходных дадзеных. Але некаторыя працэсы не маюць належнай абароны пры выкананні інструкцый. Пры такім нападзе не існуе бібліятэкі на дыску або выкананага файла са шкоднасным кодам. Усё захоўваецца ў памяці разам з эксплуатаваным працэсам.
Зараз разбярэмся методыкай уключэння збору падобных падзей у Windows і з правілам у InTrust, якое рэалізуе абарону ад падобных пагроз. Для пачатку, які актывуецца яго праз кансоль кіравання InTrust.
Правіла выкарыстоўвае магчымасці адсочвання працэсаў Windows. Нажаль, уключэнне збору такіх падзей далёка не відавочны. Трэба змяніць 3 розныя наладкі групавой палітыкі:
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit process tracking
Configuration Computer > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Detailed Tracking > Audit process creation
Computer Configuration > Policies > Administrative Templates > System > Audit Process Creation > Праграмнае забеспячэнне ажыццяўлення працэсаў стварэння акцый
Пасля ўключэння, правілы InTrust дазваляюць выяўляць невядомыя раней пагрозы, якія дэманструюць падазроныя паводзіны. Напрыклад, можна выявіць шкоднаснае ПЗ Dridex. Дзякуючы праекту HP Bromium, вядома, як уладкованая такая пагроза.
У ланцужку сваіх дзеянняў Dridex выкарыстоўвае schtasks.exe, каб стварыць запланаванае заданне. Выкарыстанне менавіта гэтай утыліты з каманднага радка лічыцца вельмі падазронымі паводзінамі, аналагічна выглядае запуск svchost.exe з параметрамі, якія паказваюць на карыстацкія тэчкі ці з параметрамі, падобнымі на каманды "net view" ці "whoami". Вось фрагмент адпаведнага :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themУ InTrust усе падазроныя паводзіны ўключана ў адно правіла, таму што большасць гэтых дзеянняў не з'яўляюцца спецыфічнымі для канкрэтнай пагрозы, а хутчэй з'яўляюцца падазронымі ў комплексе і ў 99% выпадкаў выкарыстоўваюцца для не зусім высакародных мэт. Такі спіс дзеянняў уключае, але не абмяжоўваецца:
- Працэсы, якія выконваюцца з незвычайных месцаў, такіх як прыстасаваныя часовыя тэчкі.
- Добра вядомы сістэмны працэс з падазроным атрыманнем у спадчыну - некаторыя пагрозы могуць паспрабаваць выкарыстоўваць імя сістэмных працэсаў, каб застацца незаўважанымі.
- Падазроныя выканання адміністрацыйных інструментаў, такіх як cmd або PsExec, калі яны выкарыстоўваюць уліковыя дадзеныя лакальнай сістэмы або падазронае ўспадкоўванне.
- Падазроныя аперацыі ценявога капіявання - звычайныя паводзіны вірусаў-вымагальнікаў перад шыфраваннем сістэмы, яны забіваюць рэзервовыя копіі:
- Праз vssadmin.exe;
- Праз WMI. - Рэгістравыя дампы цэлых кустоў рэестра.
- Гарызантальнае перасоўванне шкоднаснага кода пры выдаленым запуску працэсу з выкарыстаннем такіх каманд, як at.exe.
- Падазроныя лакальныя групавыя аперацыі і даменныя аперацыі з выкарыстаннем net.exe.
- Падазроныя аперацыі брандмаўэра з выкарыстаннем netsh.exe.
- Падазроныя маніпуляцыі з ACL.
- Выкарыстанне BITS для эксфільтрацыі дадзеных.
- Падазроныя маніпуляцыі з WMI.
- Падазроныя скрыптовыя каманды.
- Спробы здампаваць бяспечныя сістэмныя файлы.
Аб'яднанае правіла вельмі добрае працуе для выяўлення пагроз, такіх як RUYK, LockerGoga і іншых вірусаў-вымагальнікаў, шкоднасных праграм і набораў прылад для кіберзлачынстваў. Правіла праверана вендарам у баявых асяроддзях, каб мінімізаваць ілжывыя спрацоўванні. А дзякуючы праекту SIGMA, большасць гэтых індыкатараў вырабляюць мінімальную колькасць шумавых падзей.
Т.к. у InTrust гэтае правіла маніторынгу, вы можаце выканаць зваротны сцэнар у якасці рэакцыі на пагрозу. Можна выкарыстоўваць адзін з убудаваных сцэнарыяў ці стварыць свой уласны, а InTrust аўтаматычна распаўсюдзіць яго.
Акрамя таго, можна праверыць усю звязаную з падзеяй тэлеметрыю: скрыпты PowerShell, выкананне працэсаў, маніпуляцыі з запланаванымі задачамі, адміністрацыйную актыўнасць WMI і выкарыстоўваць іх для постмартэмаў пры інцыдэнтах бяспекі.
У InTrust ёсць сотні іншых правіл, некаторыя з іх:
- Выяўленне нападу паніжэння версіі PowerShell - калі хтосьці адмыслова выкарыстоўвае старую версію PowerShell, т.к. у больш старой версіі не было магчымасці аўдыту адбывалага.
- Выяўленне ўваходу ў сістэму з высокім узроўнем прывілеяў - калі ўліковыя запісы, якія з'яўляюцца членамі пэўнай прывілеяванай групы (напрыклад, адміністратары дамена), выпадкова або з-за інцыдэнтаў бяспекі інтэрактыўна ўваходзяць у сістэму на працоўных станцыях.
InTrust дазваляе выкарыстоўваць лепшыя практыкі бяспекі ў выглядзе прадусталяваных правілаў выяўлення і рэакцыі. А калі вы лічыце, што нешта павінна працаваць інакш - можна зрабіць сваю копію правіла і наладзіць як трэба. Адправіць заяўку на правядзенне пілота або атрыманне дыстрыбутываў з часавымі ліцэнзіямі можна праз на нашым сайце.
Падпісвайцеся на нашу , публікуем там кароткія нататкі і цікавыя спасылкі.
Пачытайце іншыя нашы артыкулы па тэме інфармацыйнай бяспекі:
(папулярны артыкул)
Крыніца: habr.com