Jedním z nejběžnějších typů útoků je spawnování škodlivého procesu ve stromu za zcela slušných procesů. Cesta ke spustitelnému souboru může být podezřelá: malware často používá složky AppData nebo Temp, což není typické pro legitimní programy. Abychom byli spravedliví, stojí za to říci, že některé automatické aktualizační nástroje se spouštějí v AppData, takže pouze kontrola místa spuštění nestačí k potvrzení, že je program škodlivý.
Dalším faktorem legitimity je kryptografický podpis: mnoho originálních programů je podepsáno dodavatelem. Skutečnost, že neexistuje žádný podpis, můžete použít jako metodu pro identifikaci podezřelých položek při spuštění. Ale zase je tu malware, který používá k podpisu ukradený certifikát.
Můžete také zkontrolovat hodnotu kryptografických hashů MD5 nebo SHA256, které mohou odpovídat některému dříve zjištěnému malwaru. Statickou analýzu můžete provést pohledem na signatury v programu (pomocí pravidel Yara nebo antivirových produktů). K dispozici je také dynamická analýza (spuštění programu v nějakém bezpečném prostředí a sledování jeho akcí) a reverzní inženýrství.
Příznaků škodlivého procesu může být mnoho. V tomto článku vám řekneme, jak povolit auditování relevantních událostí v systému Windows, analyzujeme znaky, na kterých se vestavěné pravidlo spoléhá identifikovat podezřelý proces. InTrust je pro sběr, analýzu a ukládání nestrukturovaných dat, která již mají stovky předdefinovaných reakcí na různé typy útoků.
Po spuštění se program načte do paměti počítače. Spustitelný soubor obsahuje počítačové instrukce a podpůrné knihovny (například *.dll). Když je proces již spuštěn, může vytvářet další vlákna. Vlákna umožňují procesu provádět různé sady instrukcí současně. Existuje mnoho způsobů, jak může škodlivý kód proniknout do paměti a spustit se, pojďme se podívat na některé z nich.
Nejjednodušší způsob, jak spustit škodlivý proces, je donutit uživatele, aby jej spustil přímo (například z přílohy e-mailu), poté jej pomocí klávesy RunOnce spustit při každém zapnutí počítače. Patří sem také „bezsouborový“ malware, který ukládá skripty PowerShell do klíčů registru, které se spouštějí na základě spouštěče. V tomto případě je skript PowerShell škodlivý kód.
Problém s explicitně spuštěným malwarem je, že jde o známý přístup, který lze snadno zjistit. Některý malware dělá chytřejší věci, jako je použití jiného procesu ke spuštění v paměti. Proces tedy může vytvořit další proces spuštěním konkrétní počítačové instrukce a zadáním spustitelného souboru (.exe), který se má spustit.
Soubor lze zadat pomocí úplné cesty (například C:Windowssystem32cmd.exe) nebo částečné cesty (například cmd.exe). Pokud je původní proces nezabezpečený, umožní spuštění nelegitimních programů. Útok může vypadat takto: proces spustí cmd.exe bez uvedení celé cesty, útočník umístí svůj cmd.exe na místo tak, aby jej proces spustil před legitimním. Jakmile se malware spustí, může zase spustit legitimní program (například C:Windowssystem32cmd.exe), aby původní program nadále správně fungoval.
Variantou předchozího útoku je injekce DLL do legitimního procesu. Když se proces spustí, najde a načte knihovny, které rozšiřují jeho funkčnost. Pomocí injekce DLL útočník vytvoří škodlivou knihovnu se stejným názvem a rozhraním API jako legitimní knihovna. Program načte škodlivou knihovnu a ta zase načte legitimní knihovnu a v případě potřeby ji zavolá, aby provedla operace. Škodlivá knihovna začne fungovat jako proxy pro dobrou knihovnu.
Dalším způsobem, jak uložit škodlivý kód do paměti, je vložit jej do nebezpečného procesu, který již běží. Procesy přijímají vstup z různých zdrojů – čtení ze sítě nebo souborů. Obvykle provádějí kontrolu, aby zajistili, že vstup je legitimní. Některé procesy však nemají správnou ochranu při provádění instrukcí. Při tomto útoku není na disku žádná knihovna ani spustitelný soubor obsahující škodlivý kód. Vše je uloženo v paměti spolu s procesem, který je využíván.
Nyní se podíváme na metodiku povolení shromažďování takových událostí ve Windows a na pravidlo v InTrust, které implementuje ochranu proti takovým hrozbám. Nejprve jej aktivujme prostřednictvím konzoly pro správu InTrust.
Pravidlo využívá možnosti sledování procesů operačního systému Windows. Bohužel, umožnění sběru takových událostí není zdaleka samozřejmé. Existují 3 různá nastavení zásad skupiny, která musíte změnit:
Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Zásady auditu > Sledování procesu auditu
Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Rozšířená konfigurace zásad auditu > Zásady auditu > Podrobné sledování > Vytvoření procesu auditu
Konfigurace počítače > Zásady > Šablony pro správu > Systém > Vytvoření procesu auditu > Zahrnout příkazový řádek do událostí vytváření procesu
Po aktivaci vám pravidla InTrust umožní detekovat dříve neznámé hrozby, které vykazují podezřelé chování. Můžete například identifikovat Dridex malware. Díky projektu HP Bromium víme, jak tato hrozba funguje.
Ve svém řetězci akcí používá Dridex schtasks.exe k vytvoření naplánované úlohy. Použití tohoto konkrétního nástroje z příkazového řádku je považováno za velmi podezřelé chování; podobně vypadá spuštění svchost.exe s parametry, které ukazují na uživatelské složky nebo s parametry podobnými příkazům „net view“ nebo „whoami“. Zde je fragment odpovídajícího :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themV InTrust je veškeré podezřelé chování zahrnuto do jednoho pravidla, protože většina těchto akcí není specifická pro konkrétní hrozbu, ale je spíše podezřelá v komplexu a v 99 % případů se používá pro ne úplně ušlechtilé účely. Tento seznam akcí zahrnuje, ale není omezen na:
- Procesy spouštěné z neobvyklých míst, jako jsou dočasné složky uživatele.
- Dobře známý systémový proces s podezřelou dědičností – některé hrozby se mohou pokusit použít název systémových procesů, aby zůstaly neodhaleny.
- Podezřelé spouštění nástrojů pro správu, jako je cmd nebo PsExec, když používají přihlašovací údaje místního systému nebo podezřelé dědictví.
- Podezřelé operace stínových kopií jsou běžným chováním ransomwarových virů před zašifrováním systému; zabíjejí zálohy:
— Přes vssadmin.exe;
- Prostřednictvím WMI. - Registrujte výpisy celých podregistrů registru.
- Horizontální pohyb škodlivého kódu při vzdáleném spuštění procesu pomocí příkazů, jako je at.exe.
- Podezřelé operace místní skupiny a operace domény pomocí net.exe.
- Podezřelá aktivita brány firewall pomocí netsh.exe.
- Podezřelá manipulace s ACL.
- Použití BITS pro exfiltraci dat.
- Podezřelé manipulace s WMI.
- Podezřelé příkazy skriptu.
- Pokusy o výpis zabezpečených systémových souborů.
Kombinované pravidlo funguje velmi dobře pro detekci hrozeb, jako je RUYK, LockerGoga a další sady nástrojů pro ransomware, malware a počítačovou kriminalitu. Pravidlo bylo testováno dodavatelem v produkčním prostředí, aby se minimalizovaly falešné poplachy. A díky projektu SIGMA většina těchto indikátorů produkuje minimální počet hlukových událostí.
Protože V InTrust se jedná o pravidlo monitorování, můžete spustit skript odezvy jako reakci na hrozbu. Můžete použít jeden z vestavěných skriptů nebo si vytvořit vlastní a InTrust jej automaticky distribuuje.
Kromě toho můžete zkontrolovat veškerou telemetrii související s událostmi: skripty PowerShellu, provádění procesů, plánované manipulace s úlohami, administrativní činnost WMI a použít je pro pitvu během bezpečnostních incidentů.
InTrust má stovky dalších pravidel, některá z nich:
- Detekce útoku na downgrade PowerShellu je, když někdo záměrně používá starší verzi PowerShellu, protože... ve starší verzi neexistoval způsob, jak auditovat, co se děje.
- Detekce přihlášení s vysokými oprávněními je, když se účty, které jsou členy určité privilegované skupiny (například správci domény), přihlásí k pracovním stanicím náhodně nebo kvůli bezpečnostním incidentům.
InTrust vám umožňuje používat nejlepší bezpečnostní postupy ve formě předdefinovaných pravidel detekce a odezvy. A pokud si myslíte, že by něco mělo fungovat jinak, můžete si vytvořit vlastní kopii pravidla a nakonfigurovat jej podle potřeby. Prostřednictvím můžete podat žádost o provedení pilotního projektu nebo získání distribučních sad s dočasnými licencemi na našich webových stránkách.
Přihlaste se k odběru , zveřejňujeme tam krátké poznámky a zajímavé odkazy.
Přečtěte si naše další články o bezpečnosti informací:
(oblíbený článek)
Zdroj: www.habr.com