🥇Активирайте събирането на събития за стартиране на подозрителни процеси в Windows и идентифицирайте заплахи с помощта на Quest InTrust

Един от най-често срещаните видове атаки е раждането на злонамерен процес в дърво под напълно уважавани процеси. Пътят до изпълнимия файл може да е подозрителен: зловредният софтуер често използва папките AppData или Temp и това не е типично за легитимните програми. За да бъдем честни, струва си да кажем, че някои автоматични помощни програми за актуализиране се изпълняват в AppData, така че само проверката на местоположението на стартиране не е достатъчна, за да се потвърди, че програмата е злонамерена.

Допълнителен фактор за легитимност е криптографският подпис: много оригинални програми са подписани от доставчика. Можете да използвате факта, че няма подпис като метод за идентифициране на подозрителни елементи при стартиране. Но отново има зловреден софтуер, който използва откраднат сертификат, за да се подпише.

Можете също така да проверите стойността на криптографските хешове MD5 или SHA256, които може да съответстват на някои открити преди това зловреден софтуер. Можете да извършите статичен анализ, като разгледате сигнатури в програмата (с помощта на правила на Yara или антивирусни продукти). Има и динамичен анализ (пускане на програма в някаква безопасна среда и наблюдение на нейните действия) и обратно инженерство.

Може да има много признаци за злонамерен процес. В тази статия ще ви кажем как да активирате одита на съответните събития в Windows, ще анализираме признаците, на които разчита вграденото правило InTrust за идентифициране на подозрителен процес. InTrust е CLM платформа за събиране, анализиране и съхраняване на неструктурирани данни, които вече имат стотици предварително дефинирани реакции на различни видове атаки.

Когато програмата се стартира, тя се зарежда в паметта на компютъра. Изпълнимият файл съдържа компютърни инструкции и поддържащи библиотеки (например *.dll). Когато даден процес вече се изпълнява, той може да създаде допълнителни нишки. Нишките позволяват на процеса да изпълнява различни набори от инструкции едновременно. Има много начини злонамереният код да проникне в паметта и да работи, нека разгледаме някои от тях.

Най-лесният начин да стартирате злонамерен процес е да принудите потребителя да го стартира директно (например от прикачен файл към имейл), след което да използвате клавиша RunOnce, за да го стартирате всеки път, когато компютърът е включен. Това включва също „безфайлов“ зловреден софтуер, който съхранява скриптове на PowerShell в ключове на системния регистър, които се изпълняват въз основа на тригер. В този случай скриптът на PowerShell е злонамерен код.

Проблемът с изричното стартиране на зловреден софтуер е, че това е известен подход, който лесно се открива. Някои зловреден софтуер прави по-умни неща, като например да използва друг процес, за да започне да се изпълнява в паметта. Следователно процес може да създаде друг процес, като изпълни конкретна компютърна инструкция и посочи изпълним файл (.exe), който да се изпълни.

Файлът може да бъде указан с помощта на пълен път (например C:Windowssystem32cmd.exe) или частичен път (например cmd.exe). Ако оригиналният процес е несигурен, той ще позволи изпълнението на нелегитимни програми. Една атака може да изглежда така: процес стартира cmd.exe без да посочи пълния път, атакуващият поставя своя cmd.exe на място, така че процесът да го стартира преди легитимния. След като злонамереният софтуер се стартира, той на свой ред може да стартира легитимна програма (като C:Windowssystem32cmd.exe), така че оригиналната програма да продължи да работи правилно.

Вариант на предишната атака е инжектиране на DLL в легитимен процес. Когато процес стартира, той намира и зарежда библиотеки, които разширяват неговата функционалност. Използвайки инжектиране на DLL, нападателят създава злонамерена библиотека със същото име и API като легитимната. Програмата зарежда злонамерена библиотека, а тя от своя страна зарежда легитимна и, ако е необходимо, я извиква за извършване на операции. Злонамерената библиотека започва да действа като прокси за добрата библиотека.

Друг начин да поставите зловреден код в паметта е да го вмъкнете в опасен процес, който вече се изпълнява. Процесите получават информация от различни източници – четене от мрежата или файлове. Те обикновено извършват проверка, за да гарантират, че входът е легитимен. Но някои процеси нямат подходяща защита при изпълнение на инструкции. При тази атака няма библиотека на диск или изпълним файл, съдържащ зловреден код. Всичко се съхранява в паметта заедно с процеса, който се използва.

Сега нека да разгледаме методологията за разрешаване на събирането на такива събития в Windows и правилото в InTrust, което прилага защита срещу подобни заплахи. Първо, нека го активираме чрез конзолата за управление на InTrust.

Правилото използва възможностите за проследяване на процеса на Windows OS. За съжаление, позволяването на събирането на такива събития далеч не е очевидно. Има 3 различни настройки на груповите правила, които трябва да промените:

Компютърна конфигурация > Правила > Настройки на Windows > Настройки за защита > Локални правила > Правила за одит > Проследяване на процеса на одит

Компютърна конфигурация > Правила > Настройки на Windows > Настройки за защита > Разширена конфигурация на правила за одит > Правила за одит > Подробно проследяване > Създаване на процес на одит

Компютърна конфигурация > Политики > Административни шаблони > Система > Създаване на процес на одит > Включване на командния ред в събития за създаване на процес

Веднъж активирани, правилата на InTrust ви позволяват да откривате неизвестни преди заплахи, които показват подозрително поведение. Например, можете да идентифицирате описани тук Dridex злонамерен софтуер. Благодарение на проекта HP Bromium знаем как работи тази заплаха.

В своята верига от действия Dridex използва schtasks.exe за създаване на планирана задача. Използването на тази конкретна помощна програма от командния ред се счита за много подозрително поведение; стартирането на svchost.exe с параметри, които сочат към потребителски папки или с параметри, подобни на командите „net view“ или „whoami“, изглежда подобно. Ето фрагмент от съответния Правилата на SIGMA:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

В InTrust всяко подозрително поведение е включено в едно правило, тъй като повечето от тези действия не са специфични за конкретна заплаха, а по-скоро са подозрителни в комплекс и в 99% от случаите се използват за не съвсем благородни цели. Този списък с действия включва, но не се ограничава до:

Процеси, изпълнявани от необичайни местоположения, като потребителски временни папки.
Добре познат системен процес със подозрително наследяване - някои заплахи може да се опитат да използват името на системните процеси, за да останат неоткрити.
Подозрително изпълнение на административни инструменти като cmd или PsExec, когато използват идентификационни данни за локална система или подозрително наследяване.
Подозрителните операции на копиране в сянка са често срещано поведение на ransomware вируси, преди да криптират система; те унищожават резервните копия:
— Чрез vssadmin.exe;
- Чрез WMI.
Регистрирайте дъмпове на цели кошери в регистъра.
Хоризонтално движение на зловреден код, когато даден процес се стартира отдалечено с помощта на команди като at.exe.
Подозрителни операции на локална група и операции на домейн, използващи net.exe.
Подозрителна активност на защитната стена, използваща netsh.exe.
Подозрително манипулиране на ACL.
Използване на BITS за ексфилтрация на данни.
Подозрителни манипулации с WMI.
Подозрителни скриптови команди.
Опитва се да изхвърли защитени системни файлове.

Комбинираното правило работи много добре за откриване на заплахи като RUYK, LockerGoga и други рансъмуер, зловреден софтуер и инструменти за киберпрестъпления. Правилото е тествано от доставчика в производствени среди, за да се сведат до минимум фалшивите положителни резултати. И благодарение на проекта SIGMA повечето от тези индикатори произвеждат минимален брой шумови събития.

защото В InTrust това е правило за наблюдение, можете да изпълните скрипт за отговор като реакция на заплаха. Можете да използвате един от вградените скриптове или да създадете свой собствен и InTrust автоматично ще го разпространи.

Освен това можете да инспектирате цялата телеметрия, свързана със събития: скриптове на PowerShell, изпълнение на процеси, манипулации на планирани задачи, административна дейност на WMI и да ги използвате за аутопсии по време на инциденти със сигурността.

InTrust има стотици други правила, някои от тях:

Откриването на атака за понижаване на PowerShell е, когато някой умишлено използва по-стара версия на PowerShell, защото... в по-старата версия нямаше начин да се одитира какво се случва.
Откриването на влизане с висока привилегия е, когато акаунти, които са членове на определена привилегирована група (като администратори на домейн), влизат в работни станции случайно или поради инциденти със сигурността.

InTrust ви позволява да използвате най-добрите практики за сигурност под формата на предварително дефинирани правила за откриване и реакция. И ако смятате, че нещо трябва да работи по различен начин, можете да направите свое собствено копие на правилото и да го конфигурирате според нуждите. Можете да подадете заявление за провеждане на пилотен проект или получаване на комплекти за разпространение с временни лицензи чрез форма за обратна връзка на нашия уебсайт.

Абонирайте се за нашите Фейсбук страница, там публикуваме кратки бележки и интересни връзки.

Прочетете другите ни статии за информационна сигурност:

Как InTrust може да помогне за намаляване на процента на неуспешни опити за авторизация чрез RDP

Откриваме ransomware атака, получаваме достъп до домейн контролера и се опитваме да устоим на тези атаки

Какво може да бъде полезно от регистрационните файлове на работна станция, базирана на Windows OS (популярна статия)

Проследяване на жизнения цикъл на потребителя без клещи и тиксо

И кой го направи? Ние автоматизираме одита на информационната сигурност

Как да намалите разходите за притежание на SIEM система и защо имате нужда от Central Log Management (CLM)

Източник: www.habr.com