En af de mest almindelige typer angreb er gydningen af en ondsindet proces i et træ under fuldstændig respektable processer. Stien til den eksekverbare fil kan være mistænkelig: malware bruger ofte mapperne AppData eller Temp, og dette er ikke typisk for legitime programmer. For at være retfærdig er det værd at sige, at nogle automatiske opdateringsværktøjer udføres i AppData, så det er ikke nok at tjekke startstedet for at bekræfte, at programmet er ondsindet.
En yderligere legitimitetsfaktor er en kryptografisk signatur: mange originale programmer er underskrevet af leverandøren. Du kan bruge det faktum, at der ikke er nogen signatur, som en metode til at identificere mistænkelige startelementer. Men så er der igen malware, der bruger et stjålet certifikat til at signere sig selv.
Du kan også tjekke værdien af MD5 eller SHA256 kryptografiske hashes, som kan svare til noget tidligere opdaget malware. Du kan udføre statisk analyse ved at se på signaturer i programmet (ved hjælp af Yara-regler eller antivirusprodukter). Der er også dynamisk analyse (kørsel af et program i et sikkert miljø og overvågning af dets handlinger) og reverse engineering.
Der kan være mange tegn på en ondsindet proces. I denne artikel vil vi fortælle dig, hvordan du aktiverer revision af relevante hændelser i Windows, vi vil analysere de tegn, som den indbyggede regel er afhængig af at identificere en mistænkelig proces. InTrust er til indsamling, analyse og lagring af ustrukturerede data, som allerede har hundredvis af foruddefinerede reaktioner på forskellige typer angreb.
Når programmet startes, indlæses det i computerens hukommelse. Den eksekverbare fil indeholder computerinstruktioner og understøttende biblioteker (f.eks. *.dll). Når en proces allerede kører, kan den oprette yderligere tråde. Tråde tillader en proces at udføre forskellige sæt instruktioner samtidigt. Der er mange måder, hvorpå ondsindet kode kan trænge ind i hukommelsen og køre, lad os se på nogle af dem.
Den nemmeste måde at starte en ondsindet proces på er at tvinge brugeren til at starte den direkte (for eksempel fra en e-mail-vedhæftet fil) og derefter bruge RunOnce-tasten til at starte den, hver gang computeren tændes. Dette inkluderer også "filløs" malware, der gemmer PowerShell-scripts i registreringsnøgler, der udføres baseret på en trigger. I dette tilfælde er PowerShell-scriptet ondsindet kode.
Problemet med eksplicit at køre malware er, at det er en kendt tilgang, der let kan opdages. Nogle malware gør mere smarte ting, såsom at bruge en anden proces til at begynde at udføre i hukommelsen. Derfor kan en proces oprette en anden proces ved at køre en specifik computerinstruktion og angive en eksekverbar fil (.exe) til at køre.
Filen kan angives ved hjælp af en fuld sti (f.eks. C:Windowssystem32cmd.exe) eller en delvis sti (f.eks. cmd.exe). Hvis den oprindelige proces er usikker, vil den tillade illegitime programmer at køre. Et angreb kan se sådan ud: en proces starter cmd.exe uden at angive den fulde sti, angriberen placerer sin cmd.exe et sted, så processen starter den før den legitime. Når malwaren kører, kan den til gengæld starte et legitimt program (såsom C:Windowssystem32cmd.exe), så det originale program fortsætter med at fungere korrekt.
En variant af det tidligere angreb er DLL-injektion i en legitim proces. Når en proces starter, finder og indlæser den biblioteker, der udvider dens funktionalitet. Ved hjælp af DLL-injektion opretter en angriber et ondsindet bibliotek med samme navn og API som et legitimt. Programmet indlæser et ondsindet bibliotek, og det indlæser til gengæld et legitimt, og kalder det om nødvendigt til at udføre operationer. Det ondsindede bibliotek begynder at fungere som en proxy for det gode bibliotek.
En anden måde at indsætte ondsindet kode i hukommelsen er at indsætte den i en usikker proces, der allerede kører. Processer modtager input fra forskellige kilder - læsning fra netværket eller filer. De udfører typisk en kontrol for at sikre, at inputtet er legitimt. Men nogle processer har ikke ordentlig beskyttelse, når de udfører instruktioner. I dette angreb er der ikke noget bibliotek på disken eller en eksekverbar fil, der indeholder skadelig kode. Alt er gemt i hukommelsen sammen med processen, der udnyttes.
Lad os nu se på metoden til at aktivere indsamling af sådanne hændelser i Windows og reglen i InTrust, der implementerer beskyttelse mod sådanne trusler. Lad os først aktivere det gennem InTrust-administrationskonsollen.
Reglen bruger processporingsfunktionerne i Windows OS. Desværre er det langt fra indlysende at muliggøre indsamling af sådanne begivenheder. Der er 3 forskellige gruppepolitikindstillinger, du skal ændre:
Computerkonfiguration > Politikker > Windows-indstillinger > Sikkerhedsindstillinger > Lokale politikker > Revisionspolitik > Revisionsprocessporing
Computerkonfiguration > Politikker > Windows-indstillinger > Sikkerhedsindstillinger > Avanceret konfiguration af revisionspolitik > Revisionspolitikker > Detaljeret sporing > Oprettelse af revisionsproces
Computerkonfiguration > Politikker > Administrative skabeloner > System > Revisionsprocesoprettelse > Inkluder kommandolinje i procesoprettelsesbegivenheder
Når de er aktiveret, giver InTrust-regler dig mulighed for at opdage tidligere ukendte trusler, der udviser mistænkelig adfærd. For eksempel kan du identificere Dridex malware. Takket være HP Bromium-projektet ved vi, hvordan denne trussel fungerer.
I sin kæde af handlinger bruger Dridex schtasks.exe til at oprette en planlagt opgave. Brug af dette særlige værktøj fra kommandolinjen betragtes som meget mistænkelig adfærd; lancering af svchost.exe med parametre, der peger på brugermapper eller med parametre, der ligner kommandoerne "net view" eller "whoami" ser ens ud. Her er et fragment af det tilsvarende :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themI InTrust er al mistænkelig adfærd inkluderet i én regel, fordi de fleste af disse handlinger ikke er specifikke for en bestemt trussel, men snarere er mistænkelige i et kompleks og i 99% af tilfældene bruges til ikke helt noble formål. Denne liste over handlinger inkluderer, men er ikke begrænset til:
- Processer, der kører fra usædvanlige steder, såsom midlertidige brugermapper.
- Velkendt systemproces med mistænkelig arv - nogle trusler kan forsøge at bruge navnet på systemprocesser for at forblive uopdaget.
- Mistænkelige eksekveringer af administrative værktøjer såsom cmd eller PsExec, når de bruger lokale systemoplysninger eller mistænkelig arv.
- Mistænkelige skyggekopioperationer er en almindelig adfærd hos ransomware-virusser, før de krypterer et system; de dræber sikkerhedskopier:
— Via vssadmin.exe;
- Via WMI. - Registrer dumps af hele registreringsdatabasen.
- Horisontal bevægelse af ondsindet kode, når en proces startes eksternt ved hjælp af kommandoer såsom at.exe.
- Mistænkelige lokale gruppeoperationer og domæneoperationer ved hjælp af net.exe.
- Mistænkelig firewall-aktivitet ved hjælp af netsh.exe.
- Mistænkelig manipulation af ACL.
- Brug af BITS til dataeksfiltrering.
- Mistænkelige manipulationer med WMI.
- Mistænkelige scriptkommandoer.
- Forsøg på at dumpe sikre systemfiler.
Den kombinerede regel fungerer meget godt til at opdage trusler såsom RUYK, LockerGoga og anden ransomware, malware og cyberkriminalitet værktøjssæt. Reglen er blevet testet af leverandøren i produktionsmiljøer for at minimere falske positiver. Og takket være SIGMA-projektet producerer de fleste af disse indikatorer et minimalt antal støjhændelser.
Fordi I InTrust er dette en overvågningsregel, du kan udføre et responsscript som en reaktion på en trussel. Du kan bruge et af de indbyggede scripts eller oprette dine egne, og InTrust distribuerer det automatisk.
Derudover kan du inspicere al hændelsesrelateret telemetri: PowerShell-scripts, procesudførelse, planlagte opgavemanipulationer, WMI-administrativ aktivitet og bruge dem til obduktioner under sikkerhedshændelser.
InTrust har hundredvis af andre regler, nogle af dem:
- Registrering af et PowerShell-nedgraderingsangreb er, når nogen bevidst bruger en ældre version af PowerShell, fordi... i den ældre version var der ingen måde at kontrollere, hvad der skete.
- Registrering af højprivilegeret logon er, når konti, der er medlemmer af en bestemt privilegeret gruppe (såsom domæneadministratorer) logger på arbejdsstationer ved et uheld eller på grund af sikkerhedshændelser.
InTrust giver dig mulighed for at bruge bedste sikkerhedspraksis i form af foruddefinerede detektions- og svarregler. Og hvis du mener, at noget burde fungere anderledes, kan du lave din egen kopi af reglen og konfigurere den efter behov. Du kan indsende en ansøgning om at gennemføre en pilot eller få distributionssæt med midlertidige licenser igennem på vores hjemmeside.
Abonner på vores , vi udgiver korte noter og interessante links der.
Læs vores andre artikler om informationssikkerhed:
(populær artikel)
Kilde: www.habr.com