Un dels tipus d'atac més comuns és la generació d'un procés maliciós en un arbre sota processos completament respectables. El camí al fitxer executable pot ser sospitós: el programari maliciós sovint utilitza les carpetes AppData o Temp, i això no és habitual per a programes legítims. Per ser justos, val la pena dir que algunes utilitats d'actualització automàtica s'executen a AppData, de manera que només comprovar la ubicació d'inici no és suficient per confirmar que el programa és maliciós.
Un factor addicional de legitimitat és una signatura criptogràfica: molts programes originals estan signats pel venedor. Podeu utilitzar el fet que no hi ha cap signatura com a mètode per identificar elements d'inici sospitosos. Però, de nou, hi ha programari maliciós que utilitza un certificat robat per signar-se.
També podeu comprovar el valor dels hash criptogràfics MD5 o SHA256, que poden correspondre a algun programari maliciós detectat prèviament. Podeu realitzar una anàlisi estàtica mirant les signatures al programa (utilitzant regles de Yara o productes antivirus). També hi ha anàlisi dinàmica (execució d'un programa en algun entorn segur i seguiment de les seves accions) i enginyeria inversa.
Hi pot haver molts signes d'un procés maliciós. En aquest article us explicarem com habilitar l'auditoria d'esdeveniments rellevants a Windows, analitzarem els signes en què es basa la regla integrada per identificar un procés sospitós. Confiança és per recollir, analitzar i emmagatzemar dades no estructurades, que ja té centenars de reaccions predefinides a diversos tipus d'atacs.
Quan s'inicia el programa, es carrega a la memòria de l'ordinador. El fitxer executable conté instruccions de l'ordinador i biblioteques de suport (per exemple, *.dll). Quan un procés ja s'està executant, pot crear fils addicionals. Els fils permeten que un procés executi diferents conjunts d'instruccions simultàniament. Hi ha moltes maneres perquè el codi maliciós penetri a la memòria i s'executi, vegem-ne algunes.
La manera més senzilla d'engegar un procés maliciós és forçar l'usuari a iniciar-lo directament (per exemple, des d'un fitxer adjunt de correu electrònic) i, a continuació, utilitzar la tecla RunOnce per iniciar-lo cada vegada que s'encén l'ordinador. Això també inclou programari maliciós "sense fitxer" que emmagatzema scripts de PowerShell en claus de registre que s'executen en funció d'un activador. En aquest cas, l'script de PowerShell és un codi maliciós.
El problema amb l'execució explícita de programari maliciós és que és un enfocament conegut que es detecta fàcilment. Alguns programes maliciosos fan coses més intel·ligents, com ara utilitzar un altre procés per començar a executar-se a la memòria. Per tant, un procés pot crear un altre procés executant una instrucció d'ordinador específica i especificant un fitxer executable (.exe) per executar-lo.
El fitxer es pot especificar mitjançant una ruta completa (per exemple, C:Windowssystem32cmd.exe) o una ruta parcial (per exemple, cmd.exe). Si el procés original és insegur, permetrà executar programes il·legítims. Un atac pot tenir aquest aspecte: un procés llança cmd.exe sense especificar el camí complet, l'atacant col·loca el seu cmd.exe en un lloc perquè el procés l'iniciï abans que el legítim. Un cop s'executa el programari maliciós, al seu torn pot llançar un programa legítim (com ara C:Windowssystem32cmd.exe) perquè el programa original continuï funcionant correctament.
Una variació de l'atac anterior és la injecció de DLL en un procés legítim. Quan s'inicia un procés, troba i carrega biblioteques que amplien la seva funcionalitat. Mitjançant la injecció de DLL, un atacant crea una biblioteca maliciosa amb el mateix nom i API que una biblioteca legítima. El programa carrega una biblioteca maliciosa i, al seu torn, en carrega una de legítima i, si cal, la crida per realitzar operacions. La biblioteca maliciosa comença a actuar com a proxy per a la bona biblioteca.
Una altra manera de posar codi maliciós a la memòria és inserir-lo en un procés no segur que ja s'està executant. Els processos reben entrada de diverses fonts: lectura de la xarxa o fitxers. Normalment realitzen una comprovació per assegurar-se que l'entrada és legítima. Però alguns processos no tenen la protecció adequada quan s'executen instruccions. En aquest atac, no hi ha cap biblioteca al disc o fitxer executable que contingui codi maliciós. Tot s'emmagatzema a la memòria juntament amb el procés que s'està explotant.
Vegem ara la metodologia per habilitar la recopilació d'aquests esdeveniments a Windows i la regla a InTrust que implementa la protecció contra aquestes amenaces. Primer, activem-lo a través de la consola de gestió d'InTrust.
La regla utilitza les capacitats de seguiment de processos del sistema operatiu Windows. Malauradament, habilitar la recopilació d'aquests esdeveniments està lluny de ser obvi. Hi ha 3 opcions de configuració de la política de grup diferents que heu de canviar:
Configuració de l'ordinador > Polítiques > Configuració de Windows > Configuració de seguretat > Polítiques locals > Política d'auditoria > Seguiment del procés d'auditoria
Configuració de l'ordinador > Polítiques > Configuració de Windows > Configuració de seguretat > Configuració avançada de polítiques d'auditoria > Polítiques d'auditoria > Seguiment detallat > Creació de processos d'auditoria
Configuració de l'ordinador > Polítiques > Plantilles administratives > Sistema > Creació de processos d'auditoria > Inclou la línia d'ordres als esdeveniments de creació de processos
Un cop activades, les regles InTrust us permeten detectar amenaces desconegudes anteriorment que mostren un comportament sospitós. Per exemple, pots identificar-te Programari maliciós Dridex. Gràcies al projecte HP Bromium, sabem com funciona aquesta amenaça.
En la seva cadena d'accions, Dridex utilitza schtasks.exe per crear una tasca programada. L'ús d'aquesta utilitat en particular des de la línia d'ordres es considera un comportament molt sospitós; llançar svchost.exe amb paràmetres que apunten a carpetes d'usuari o amb paràmetres semblants a les ordres "net view" o "whoami" sembla similar. Aquí teniu un fragment del corresponent :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themA InTrust, tots els comportaments sospitosos s'inclouen en una regla, perquè la majoria d'aquestes accions no són específiques d'una amenaça en particular, sinó que són sospitoses en un complex i en el 99% dels casos s'utilitzen amb finalitats no del tot nobles. Aquesta llista d'accions inclou, però no es limita a:
- Processos que s'executen des d'ubicacions inusuals, com ara carpetes temporals d'usuari.
- Procés del sistema conegut amb herència sospitosa: algunes amenaces poden intentar utilitzar el nom dels processos del sistema per no ser detectats.
- Execucions sospitoses d'eines administratives com cmd o PsExec quan utilitzen credencials del sistema local o herència sospitosa.
- Les operacions d'ombra sospitoses són un comportament comú dels virus de ransomware abans de xifrar un sistema; maten les còpies de seguretat:
— A través de vssadmin.exe;
- Via WMI. - Registre abocaments de ruscs de registre sencers.
- Moviment horitzontal de codi maliciós quan s'inicia un procés de forma remota mitjançant ordres com ara at.exe.
- Operacions sospitoses de grups locals i operacions de domini amb net.exe.
- Activitat sospitosa del tallafoc amb netsh.exe.
- Manipulació sospitosa de l'ACL.
- Ús de BITS per a l'exfiltració de dades.
- Manipulacions sospitoses amb WMI.
- Ordres d'script sospitoses.
- Intents d'abocar fitxers segurs del sistema.
La regla combinada funciona molt bé per detectar amenaces com RUYK, LockerGoga i altres equips d'eines de ransomware, programari maliciós i cibercrim. El venedor ha provat la regla en entorns de producció per minimitzar els falsos positius. I gràcies al projecte SIGMA, la majoria d'aquests indicadors produeixen un nombre mínim d'esdeveniments de soroll.
Perquè A InTrust, aquesta és una regla de supervisió, podeu executar un script de resposta com a reacció a una amenaça. Podeu utilitzar un dels scripts integrats o crear el vostre propi i InTrust el distribuirà automàticament.
A més, podeu inspeccionar tota la telemetria relacionada amb esdeveniments: scripts de PowerShell, execució de processos, manipulacions de tasques programades, activitat administrativa de WMI i utilitzar-les per a autopsies durant incidents de seguretat.
InTrust té centenars d'altres regles, algunes d'elles:
- La detecció d'un atac de reducció de PowerShell és quan algú utilitza deliberadament una versió anterior de PowerShell perquè... a la versió anterior no hi havia manera d'auditar el que estava passant.
- La detecció d'inici de sessió amb privilegis elevats és quan els comptes que són membres d'un grup privilegiat determinat (com ara els administradors de dominis) inicien sessió a les estacions de treball per accident o per incidents de seguretat.
InTrust us permet utilitzar les millors pràctiques de seguretat en forma de regles de detecció i reacció predefinides. I si creieu que alguna cosa hauria de funcionar de manera diferent, podeu fer la vostra pròpia còpia de la regla i configurar-la segons sigui necessari. Podeu presentar una sol·licitud per dur a terme un pilot o obtenir kits de distribució amb llicències temporals mitjançant al nostre lloc web.
Subscriu-te al nostre , hi publiquem notes breus i enllaços interessants.
Llegiu els nostres altres articles sobre seguretat de la informació:
(article popular)
Font: www.habr.com