Unu di i tipi più cumuni di attacchi hè a spawning di un prucessu maliziusu in un arbre sottu prucessi cumpletamente rispettabili. U percorsu à u schedariu eseguibile pò esse suspettu: u malware spessu usa i cartulare AppData o Temp, è questu ùn hè micca tipicu per i prugrammi legittimi. Per esse ghjustu, vale a pena dì chì alcune utilità d'aghjurnamentu automaticu sò eseguite in AppData, cusì cuntrollà u locu di lanciamentu ùn hè micca abbastanza per cunfirmà chì u prugramma hè maliziusu.
Un fattore supplementu di legittimità hè una firma criptografica: assai prugrammi originali sò firmati da u venditore. Pudete aduprà u fattu chì ùn ci hè micca una firma cum'è un metudu per identificà l'articuli di startup sospetti. Ma dinò ci hè un malware chì usa un certificatu arrubatu per firmà.
Pudete ancu cuntrollà u valore di MD5 o SHA256 cryptographic hashes, chì pò currisponde à qualchì malware previamente detectatu. Pudete fà analisi statica fighjendu e firme in u prugramma (usendu regule Yara o prudutti antivirus). Ci hè ancu analisi dinamica (eseguisce un prugramma in un ambiente sicuru è monitorà e so azzioni) è ingegneria inversa.
Ci ponu esse parechji segni di un prucessu maliziusi. In questu articulu vi diceremu cumu per attivà a verificazione di l'avvenimenti pertinenti in Windows, analizzeremu i segni chì a regula integrata si basa. per identificà un prucessu suspettu. InTrust hè per a cullizzioni, l'analisi è l'almacenamiento di dati non strutturati, chì hà digià centinaie di reazioni predefinite à varii tipi d'attacchi.
Quandu u prugramma hè lanciatu, hè carricu in a memoria di l'urdinatore. U schedariu eseguibile cuntene struzzioni di l'urdinatore è biblioteche di supportu (per esempiu, *.dll). Quandu un prucessu hè digià in esecuzione, pò creà fili supplementari. Threads permettenu un prucessu per eseguisce diverse serie di struzzioni simultaneamente. Ci hè parechje manere di codice maliziusu per penetrà in memoria è eseguisce, fighjemu alcuni di elli.
U modu più faciule per lancià un prucessu maliziusu hè di furzà l'utilizatore per lancià direttamente (per esempiu, da un attache di email), dopu aduprà a chjave RunOnce per lancià ogni volta chì l'urdinatore hè attivatu. Questu include ancu malware "senza file" chì guarda scripts PowerShell in chjavi di registru chì sò eseguiti basatu annantu à un trigger. In questu casu, l'script PowerShell hè un codice maliziusu.
U prublema cù u malware in esecuzione esplicita hè chì hè un approcciu cunnisciutu chì hè facilmente rilevatu. Certi malware facenu cose più intelligenti, cum'è aduprà un altru prucessu per cumincià à eseguisce in memoria. Dunque, un prucessu pò creà un altru prucessu eseguendu una struzzione specifica di l'urdinatore è specificendu un schedariu eseguibile (.exe) per eseguisce.
U schedariu pò esse specificatu cù una strada completa (per esempiu, C:Windowssystem32cmd.exe) o una strada parziale (per esempiu, cmd.exe). Se u prucessu uriginale ùn hè micca sicuru, permetterà à i prugrammi illegittimi di eseguisce. Un attaccu pò vede cusì: un prucessu lancia cmd.exe senza specificà u percorsu sanu, l'attaccante mette u so cmd.exe in un locu per chì u prucessu lancia prima di u legittimu. Una volta chì u malware corre, pò à turnà lancià un prugramma legittimu (cum'è C:Windowssystem32cmd.exe) per chì u prugramma originale cuntinueghja à travaglià bè.
Una variazione di l'attaccu precedente hè l'iniezione di DLL in un prucessu legittimu. Quandu un prucessu principia, trova è carica biblioteche chì allarganu a so funziunalità. Utilizendu l'iniezione di DLL, un attaccu crea una libreria maliciosa cù u stessu nome è API cum'è legittimi. U prugramma carica una biblioteca maliziosa, è, à u turnu, carica una legittima, è, cum'è necessariu, u chjama per fà operazioni. A biblioteca maliciosa cumencia à agisce cum'è un proxy per a bona biblioteca.
Un altru modu di mette codice maliziusu in memoria hè di inserisce in un prucessu inseguru chì hè digià in esecuzione. I prucessi ricevenu input da diverse fonti - lettura da a reta o di i schedari. Di solitu realizanu un cuntrollu per assicurà chì l'input hè legittimu. Ma certi prucessi ùn anu micca una prutezzione propria quandu eseguisce struzzioni. In questu attaccu, ùn ci hè micca una libreria nantu à u discu o un schedariu eseguibile chì cuntene codice maliziusu. Tuttu hè guardatu in memoria cù u prucessu chì hè sfruttatu.
Avà fighjemu a metodulugia per attivà a cullizzioni di tali avvenimenti in Windows è a regula in InTrust chì implementa a prutezzione contru tali minacce. Prima, attivemu per mezu di a cunsola di gestione InTrust.
A regula usa e capacità di seguimentu di prucessu di Windows OS. Sfortunatamente, l'attivazione di a cullizzioni di tali avvenimenti hè luntanu da esse ovvia. Ci hè 3 diverse paràmetri di pulitica di gruppu chì avete bisognu di cambià:
Configurazione di l'urdinatore > Politiche > Configurazione di Windows > Configurazione di Sicurezza > Politiche Locali > Politica di Audit > Traccia di u prucessu di auditu
Configurazione di l'urdinatore > Politiche > Configurazione di Windows > Configurazione di Sicurezza > Configurazione Avanzata di Politica di Audit > Politiche di Audit > Tracciamentu detallatu > Creazione di prucessu di auditu
Configurazione di l'urdinatore > Politiche > Modelli amministrativi > Sistema > Creazione di Prucessu di Audit > Includite a linea di cummanda in l'avvenimenti di creazione di prucessu
Una volta attivate, e regule InTrust permettenu di detectà minacce precedentemente scunnisciute chì mostranu un cumpurtamentu sospettu. Per esempiu, pudete identificà Dridex malware. Grazie à u prughjettu HP Bromium, sapemu cumu funziona sta minaccia.
In a so catena d'azzioni, Dridex usa schtasks.exe per creà un compitu pianificatu. L'usu di sta utilità particulare da a linea di cummanda hè cunsideratu cumportamentu assai sospettu; lanciare svchost.exe cù paràmetri chì puntanu à i cartulare di l'utilizatori o cù paràmetri simili à i cumandamenti "net view" o "whoami" s'assumiglia. Eccu un fragmentu di u currispundente :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themIn InTrust, tutti i cumportamenti suspetti sò inclusi in una regula, perchè a maiò parte di sti azzioni ùn sò micca specifichi per una minaccia particulari, ma piuttostu sò suspetti in un cumplessu è in u 99% di i casi sò usati per scopi micca cumpletamente nobili. Questa lista di azioni include, ma ùn hè micca limitata à:
- Prucessi in esecuzione da locu inusual, cum'è cartulare tempuranee di l'utilizatori.
- Prucessu di sistema cunnisciuta cun eredità suspettuosa - alcune minacce puderanu pruvà à utilizà u nome di i prucessi di u sistema per ùn esse rilevatu.
- Esecuzioni sospette di strumenti amministrativi cum'è cmd o PsExec quandu usanu credenziali di u sistema lucale o eredità suspettuosa.
- L'operazioni di copia d'ombra sospette sò un cumpurtamentu cumuni di virus ransomware prima di criptà un sistema; uccidenu e copie di salvezza:
- Via vssadmin.exe;
- Via WMI. - Registrate i dumps di tutti i bugni di registru.
- U muvimentu horizontale di codice maliziusu quandu un prucessu hè lanciatu remotamente utilizendu cumandamenti cum'è at.exe.
- Operazioni di gruppu lucale sospette è operazioni di duminiu cù net.exe.
- Attività di firewall sospetta cù netsh.exe.
- Manipulazione sospetta di l'ACL.
- Utilizà BITS per l'esfiltrazione di dati.
- Manipulazioni sospette cù WMI.
- Cumandamenti di script sospetti.
- Tentativi di dump i schedarii di sistema sicuru.
A regula cumminata funziona assai bè per detectà e minacce cum'è RUYK, LockerGoga è altri ransomware, malware è cybercrime toolkits. A regula hè stata pruvata da u venditore in ambienti di produzzione per minimizzà i falsi pusitivi. È grazia à u prughjettu SIGMA, a maiò parte di sti indicatori pruducianu un numeru minimu di avvenimenti di rumore.
Perchè In InTrust hè una regula di monitoraghju, pudete eseguisce un script di risposta cum'è una reazione à una minaccia. Pudete utilizà unu di i script integrati o creà u vostru propiu è InTrust distribuirà automaticamente.
Inoltre, pudete inspeccionà tutte e telemetria di l'avvenimentu: script PowerShell, esecuzione di processu, manipulazioni di attività pianificate, attività amministrativa WMI, è l'utilizanu per i post-mortems durante incidenti di sicurezza.
InTrust hà centinaie di altre regule, alcune di elli:
- A rilevazione di un attaccu di downgrade di PowerShell hè quandu qualchissia usa deliberatamente una versione più vechja di PowerShell perchè ... in a versione più vechja ùn ci era manera di audità ciò chì succede.
- A rilevazione di login d'altu privilegiu hè quandu i cunti chì sò membri di un certu gruppu privilegiatu (cum'è l'amministratori di duminiu) accede à stazioni di travagliu per accidenti o per incidenti di sicurezza.
InTrust permette di utilizà e migliori pratiche di sicurezza in forma di regule predefinite di rilevazione è risposta. E se pensate chì qualcosa deve travaglià in modu diversu, pudete fà a vostra propria copia di a regula è cunfigurà cum'è necessariu. Pudete invià una dumanda per fà un pilotu o uttene kit di distribuzione cù licenze temporanee attraversu in u nostru situ web.
Abbonate à u nostru , pubblichemu note brevi è ligami interessanti quì.
Leghjite i nostri altri articuli nantu à a sicurità di l'infurmazioni:
(articulu pupulari)
Source: www.habr.com