Jedna od najčešćih vrsta napada je stvaranje zlonamjernog procesa u stablu pod potpuno respektabilnim procesima. Putanja do izvršne datoteke može biti sumnjiva: zlonamjerni softver često koristi fascikle AppData ili Temp, a to nije tipično za legitimne programe. Da budemo pošteni, vrijedi reći da se neki uslužni programi za automatsko ažuriranje izvršavaju u AppData, tako da samo provjera lokacije pokretanja nije dovoljna da se potvrdi da je program zlonamjeran.
Dodatni faktor legitimnosti je kriptografski potpis: mnogi originalni programi su potpisani od strane dobavljača. Možete koristiti činjenicu da ne postoji potpis kao metodu za identifikaciju sumnjivih startup stavki. Ali opet postoji zlonamjerni softver koji koristi ukradeni certifikat da se potpiše.
Također možete provjeriti vrijednost MD5 ili SHA256 kriptografskih heševa, što može odgovarati nekom ranije otkrivenom zlonamjernom softveru. Možete izvršiti statičku analizu gledajući potpise u programu (koristeći Yara pravila ili antivirusne proizvode). Tu je i dinamička analiza (pokretanje programa u nekom sigurnom okruženju i praćenje njegovih radnji) i obrnuti inženjering.
Može postojati mnogo znakova zlonamjernog procesa. U ovom članku ćemo vam reći kako omogućiti reviziju relevantnih događaja u Windowsu, analizirat ćemo znakove na koje se oslanja ugrađeno pravilo da identifikuje sumnjivi proces. InTrust je za prikupljanje, analizu i pohranjivanje nestrukturiranih podataka, koji već ima stotine unaprijed definiranih reakcija na razne vrste napada.
Kada se program pokrene, on se učitava u memoriju računara. Izvršna datoteka sadrži kompjuterska uputstva i prateće biblioteke (na primjer, *.dll). Kada je proces već pokrenut, može kreirati dodatne niti. Niti dozvoljavaju procesu da istovremeno izvršava različite skupove instrukcija. Postoji mnogo načina da zlonamjerni kod prodre u memoriju i pokrene se, pogledajmo neke od njih.
Najlakši način da pokrenete zlonamjerni proces je da natjerate korisnika da ga pokrene direktno (na primjer, iz priloga e-pošte), a zatim koristite tipku RunOnce da ga pokrene svaki put kada se računar uključi. Ovo također uključuje zlonamjerni softver „bez datoteka“ koji pohranjuje PowerShell skripte u ključeve registra koji se izvršavaju na osnovu okidača. U ovom slučaju, PowerShell skripta je zlonamjerni kod.
Problem s eksplicitnim pokretanjem zlonamjernog softvera je taj što je to poznati pristup koji se lako otkriva. Neki zlonamjerni softver radi pametnije stvari, kao što je korištenje drugog procesa za početak izvršavanja u memoriji. Stoga proces može kreirati drugi proces pokretanjem određene kompjuterske instrukcije i navođenjem izvršne datoteke (.exe) za pokretanje.
Datoteka se može navesti korištenjem pune putanje (na primjer, C:Windowssystem32cmd.exe) ili djelomične putanje (na primjer, cmd.exe). Ako je originalni proces nesiguran, omogućit će pokretanje nelegitimnih programa. Napad može izgledati ovako: proces pokreće cmd.exe bez navođenja pune putanje, napadač postavlja svoj cmd.exe na mjesto tako da ga proces pokreće prije legitimnog. Kada se malver pokrene, može zauzvrat pokrenuti legitiman program (kao što je C:Windowssystem32cmd.exe) tako da originalni program nastavi da radi ispravno.
Varijacija prethodnog napada je DLL injekcija u legitiman proces. Kada se proces pokrene, on pronalazi i učitava biblioteke koje proširuju njegovu funkcionalnost. Koristeći DLL injekciju, napadač kreira zlonamjernu biblioteku sa istim imenom i API-jem kao i legitimna. Program učitava zlonamjernu biblioteku, a ona zauzvrat učitava legitimnu i, po potrebi, poziva je da izvrši operacije. Zlonamjerna biblioteka počinje djelovati kao proxy za dobru biblioteku.
Drugi način da se zlonamjerni kod stavi u memoriju je da se ubaci u nesiguran proces koji je već pokrenut. Procesi primaju ulazne podatke iz različitih izvora – čitanje iz mreže ili datoteka. Oni obično vrše provjeru kako bi osigurali da je unos legitiman. Ali neki procesi nemaju odgovarajuću zaštitu prilikom izvršavanja instrukcija. U ovom napadu ne postoji biblioteka na disku ili izvršna datoteka koja sadrži zlonamjerni kod. Sve se pohranjuje u memoriju zajedno sa procesom koji se eksploatiše.
Pogledajmo sada metodologiju za omogućavanje prikupljanja takvih događaja u Windows-u i pravilo u InTrust-u koje implementira zaštitu od takvih prijetnji. Prvo, aktivirajmo ga preko InTrust upravljačke konzole.
Pravilo koristi mogućnosti praćenja procesa Windows OS-a. Nažalost, omogućavanje prikupljanja ovakvih događaja je daleko od očiglednog. Postoje 3 različite postavke grupnih pravila koje morate promijeniti:
Konfiguracija računara > Pravila > Windows postavke > Sigurnosne postavke > Lokalne politike > Pravila revizije > Praćenje procesa revizije
Konfiguracija računara > Smjernice > Windows postavke > Sigurnosne postavke > Napredna konfiguracija pravila revizije > Smjernice revizije > Detaljno praćenje > Kreiranje procesa revizije
Konfiguracija računara > Pravila > Administrativni predlošci > Sistem > Kreiranje procesa revizije > Uključi komandnu liniju u događaje kreiranja procesa
Jednom omogućena, InTrust pravila vam omogućavaju da otkrijete ranije nepoznate prijetnje koje pokazuju sumnjivo ponašanje. Na primjer, možete identificirati Dridex malware. Zahvaljujući projektu HP Bromium, znamo kako ova prijetnja funkcionira.
U svom lancu akcija, Dridex koristi schtasks.exe za kreiranje zakazanog zadatka. Korišćenje ovog konkretnog uslužnog programa iz komandne linije smatra se veoma sumnjivim ponašanjem; pokretanje svchost.exe sa parametrima koji upućuju na korisničke fascikle ili sa parametrima sličnim komandama “net view” ili “whoami” izgleda slično. Evo fragmenta odgovarajućeg :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themU InTrust-u je sva sumnjiva ponašanja uključena u jedno pravilo, jer većina ovih radnji nije specifična za određenu prijetnju, već su sumnjiva u kompleksu i u 99% slučajeva se koriste u ne sasvim plemenite svrhe. Ova lista radnji uključuje, ali nije ograničena na:
- Procesi koji se pokreću sa neobičnih lokacija, kao što su privremene fascikle korisnika.
- Dobro poznati sistemski proces sa sumnjivim nasljeđivanjem - neke prijetnje mogu pokušati koristiti ime sistemskih procesa kako bi ostale neotkrivene.
- Sumnjiva izvršenja administrativnih alata kao što su cmd ili PsExec kada koriste akreditive lokalnog sistema ili sumnjivo nasljeđivanje.
- Sumnjive operacije sjenčanog kopiranja uobičajeno su ponašanje ransomware virusa prije šifriranja sistema; one ubijaju sigurnosne kopije:
— Preko vssadmin.exe;
- Preko WMI. - Registrirajte dumpove cijelih košnica registra.
- Horizontalno kretanje zlonamjernog koda kada se proces pokrene na daljinu pomoću komandi kao što je at.exe.
- Sumnjive lokalne grupne operacije i operacije domene koristeći net.exe.
- Sumnjiva aktivnost zaštitnog zida pomoću netsh.exe.
- Sumnjiva manipulacija ACL-om.
- Korištenje BITS-a za eksfiltraciju podataka.
- Sumnjive manipulacije sa WMI.
- Sumnjive naredbe skripte.
- Pokušaji izbacivanja sigurnih sistemskih datoteka.
Kombinovano pravilo radi vrlo dobro za otkrivanje prijetnji kao što su RUYK, LockerGoga i drugi ransomware, zlonamjerni softver i alati za cyber kriminal. Dobavljač je testirao pravilo u proizvodnim okruženjima kako bi se lažno pozitivni rezultati minimizirali. A zahvaljujući projektu SIGMA, većina ovih indikatora proizvodi minimalan broj događaja buke.
Jer U InTrust-u ovo je pravilo nadzora, možete izvršiti skriptu odgovora kao reakciju na prijetnju. Možete koristiti jednu od ugrađenih skripti ili kreirati vlastitu i InTrust će je automatski distribuirati.
Osim toga, možete pregledati svu telemetriju koja se odnosi na događaje: PowerShell skripte, izvršenje procesa, planirane manipulacije zadacima, WMI administrativnu aktivnost i koristiti ih za obdukcije tokom sigurnosnih incidenata.
InTrust ima stotine drugih pravila, neka od njih:
- Otkrivanje PowerShell napada na nižu verziju je kada neko namjerno koristi stariju verziju PowerShell-a jer... u starijoj verziji nije bilo načina da se revidira šta se dešava.
- Otkrivanje prijave s visokim privilegijama je kada se nalozi koji su članovi određene privilegovane grupe (kao što su administratori domena) slučajno ili zbog sigurnosnih incidenata prijavljuju na radne stanice.
InTrust vam omogućava da koristite najbolje bezbednosne prakse u obliku unapred definisanih pravila detekcije i reagovanja. A ako mislite da bi nešto trebalo raditi drugačije, možete napraviti vlastitu kopiju pravila i konfigurirati je po potrebi. Zahtjev za provođenje pilota ili dobijanje distributivnih kompleta sa privremenim licencama možete podnijeti putem na našoj web stranici.
Pretplatite se na naše , tamo objavljujemo kratke bilješke i zanimljive linkove.
Pročitajte naše ostale članke o sigurnosti informacija:
(popularan članak)
izvor: www.habr.com