Eine der häufigsten Arten von Angriffen ist das Laichen eines bösartigen Prozesses in einem Baum unter völlig respektablen Prozessen. Der Pfad zur ausführbaren Datei kann verdächtig sein: Malware verwendet häufig die Ordner AppData oder Temp, was für legitime Programme nicht typisch ist. Fairerweise muss man sagen, dass einige Dienstprogramme zur automatischen Aktualisierung in AppData ausgeführt werden, so dass die bloße Überprüfung des Startorts nicht ausreicht, um zu bestätigen, dass das Programm bösartig ist.
Ein zusätzlicher Legitimitätsfaktor ist eine kryptografische Signatur: Viele Originalprogramme werden vom Hersteller signiert. Sie können die Tatsache, dass keine Signatur vorhanden ist, als Methode zur Identifizierung verdächtiger Startobjekte nutzen. Andererseits gibt es aber auch Malware, die ein gestohlenes Zertifikat nutzt, um sich selbst zu signieren.
Sie können auch den Wert der kryptografischen MD5- oder SHA256-Hashes überprüfen, die möglicherweise einer zuvor erkannten Malware entsprechen. Sie können eine statische Analyse durchführen, indem Sie sich die Signaturen im Programm ansehen (mithilfe von Yara-Regeln oder Antivirenprodukten). Es gibt auch dynamische Analyse (Ausführen eines Programms in einer sicheren Umgebung und Überwachen seiner Aktionen) und Reverse Engineering.
Es kann viele Anzeichen für einen böswilligen Prozess geben. In diesem Artikel erfahren Sie, wie Sie die Überwachung relevanter Ereignisse in Windows aktivieren und die Zeichen analysieren, auf denen die integrierte Regel basiert um einen verdächtigen Prozess zu identifizieren. InTrust ist zum Sammeln, Analysieren und Speichern unstrukturierter Daten, die bereits über Hunderte vordefinierte Reaktionen auf verschiedene Angriffsarten verfügen.
Wenn das Programm gestartet wird, wird es in den Speicher des Computers geladen. Die ausführbare Datei enthält Computeranweisungen und unterstützende Bibliotheken (z. B. *.dll). Wenn ein Prozess bereits ausgeführt wird, kann er zusätzliche Threads erstellen. Threads ermöglichen einem Prozess die gleichzeitige Ausführung verschiedener Befehlssätze. Es gibt viele Möglichkeiten, wie Schadcode in den Speicher eindringt und ausgeführt wird. Schauen wir uns einige davon an.
Der einfachste Weg, einen bösartigen Prozess zu starten, besteht darin, den Benutzer zu zwingen, ihn direkt zu starten (z. B. aus einem E-Mail-Anhang) und ihn dann jedes Mal, wenn der Computer eingeschaltet wird, mit der RunOnce-Taste zu starten. Dazu gehört auch „dateilose“ Malware, die PowerShell-Skripte in Registrierungsschlüsseln speichert, die auf der Grundlage eines Auslösers ausgeführt werden. In diesem Fall handelt es sich bei dem PowerShell-Skript um Schadcode.
Das Problem bei der expliziten Ausführung von Malware besteht darin, dass es sich um einen bekannten Ansatz handelt, der leicht erkannt werden kann. Manche Malware macht cleverere Dinge, wie zum Beispiel die Verwendung eines anderen Prozesses, um die Ausführung im Speicher zu starten. Daher kann ein Prozess einen anderen Prozess erstellen, indem er eine bestimmte Computeranweisung ausführt und eine ausführbare Datei (.exe) zur Ausführung angibt.
Die Datei kann mit einem vollständigen Pfad (z. B. C:Windowssystem32cmd.exe) oder einem Teilpfad (z. B. cmd.exe) angegeben werden. Wenn der ursprüngliche Prozess unsicher ist, können unzulässige Programme ausgeführt werden. Ein Angriff kann wie folgt aussehen: Ein Prozess startet cmd.exe, ohne den vollständigen Pfad anzugeben. Der Angreifer platziert seine cmd.exe an einem Ort, an dem der Prozess sie vor dem legitimen startet. Sobald die Malware ausgeführt wird, kann sie wiederum ein legitimes Programm (z. B. C:Windowssystem32cmd.exe) starten, sodass das ursprüngliche Programm weiterhin ordnungsgemäß funktioniert.
Eine Variante des vorherigen Angriffs ist die DLL-Injektion in einen legitimen Prozess. Wenn ein Prozess startet, sucht und lädt er Bibliotheken, die seine Funktionalität erweitern. Mithilfe der DLL-Injection erstellt ein Angreifer eine bösartige Bibliothek mit demselben Namen und derselben API wie eine legitime Bibliothek. Das Programm lädt eine schädliche Bibliothek, lädt wiederum eine legitime und ruft diese bei Bedarf auf, um Vorgänge auszuführen. Die bösartige Bibliothek beginnt als Proxy für die gute Bibliothek zu fungieren.
Eine andere Möglichkeit, bösartigen Code in den Speicher zu legen, besteht darin, ihn in einen unsicheren Prozess einzufügen, der bereits ausgeführt wird. Prozesse erhalten Eingaben aus verschiedenen Quellen – lesend aus dem Netzwerk oder aus Dateien. Sie führen in der Regel eine Prüfung durch, um sicherzustellen, dass die Eingabe legitim ist. Einige Prozesse verfügen jedoch nicht über den richtigen Schutz bei der Ausführung von Anweisungen. Bei diesem Angriff gibt es weder eine Bibliothek auf der Festplatte noch eine ausführbare Datei, die schädlichen Code enthält. Alles wird zusammen mit dem genutzten Prozess im Speicher gespeichert.
Schauen wir uns nun die Methode zum Aktivieren der Erfassung solcher Ereignisse in Windows und die Regel in InTrust an, die den Schutz vor solchen Bedrohungen implementiert. Aktivieren wir es zunächst über die InTrust-Verwaltungskonsole.
Die Regel nutzt die Prozessverfolgungsfunktionen des Windows-Betriebssystems. Leider ist es alles andere als selbstverständlich, die Erfassung solcher Ereignisse zu ermöglichen. Es gibt drei verschiedene Gruppenrichtlinieneinstellungen, die Sie ändern müssen:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie > Überwachungsprozessverfolgung
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien > Detaillierte Nachverfolgung > Erstellung des Überwachungsprozesses
Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Prozesserstellung überwachen > Befehlszeile in Prozesserstellungsereignisse einbeziehen
Sobald die InTrust-Regeln aktiviert sind, können Sie bisher unbekannte Bedrohungen erkennen, die verdächtiges Verhalten zeigen. Sie können sich zum Beispiel identifizieren Dridex-Malware. Dank des HP Bromium-Projekts wissen wir, wie diese Bedrohung funktioniert.
In seiner Aktionskette verwendet Dridex schtasks.exe, um eine geplante Aufgabe zu erstellen. Die Verwendung dieses speziellen Dienstprogramms über die Befehlszeile gilt als sehr verdächtiges Verhalten; das Starten von svchost.exe mit Parametern, die auf Benutzerordner verweisen, oder mit Parametern, die den Befehlen „net view“ oder „whoami“ ähneln, sieht ähnlich aus. Hier ist ein Fragment des entsprechenden :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themIn InTrust werden alle verdächtigen Verhaltensweisen in einer Regel zusammengefasst, da die meisten dieser Aktionen nicht spezifisch für eine bestimmte Bedrohung sind, sondern in einem Komplex verdächtig sind und in 99 % der Fälle nicht ganz edlen Zwecken dienen. Diese Liste von Maßnahmen umfasst unter anderem:
- Prozesse, die an ungewöhnlichen Orten ausgeführt werden, z. B. in temporären Benutzerordnern.
- Bekannter Systemprozess mit verdächtiger Vererbung – einige Bedrohungen versuchen möglicherweise, den Namen von Systemprozessen zu verwenden, um unentdeckt zu bleiben.
- Verdächtige Ausführungen von Verwaltungstools wie cmd oder PsExec, wenn diese lokale Systemanmeldeinformationen oder verdächtige Vererbung verwenden.
- Verdächtige Schattenkopie-Vorgänge sind ein häufiges Verhalten von Ransomware-Viren vor der Verschlüsselung eines Systems; sie zerstören Backups:
— Через vssadmin.exe;
- Über WMI. - Registrieren Sie Dumps ganzer Registrierungsstrukturen.
- Horizontale Bewegung von Schadcode, wenn ein Prozess remote mithilfe von Befehlen wie at.exe gestartet wird.
- Verdächtige lokale Gruppenoperationen und Domänenoperationen mit net.exe.
- Verdächtige Firewall-Aktivität mit netsh.exe.
- Verdächtige Manipulation der ACL.
- Verwendung von BITS zur Datenexfiltration.
- Verdächtige Manipulationen mit WMI.
- Verdächtige Skriptbefehle.
- Versucht, sichere Systemdateien zu sichern.
Die kombinierte Regel eignet sich sehr gut zur Erkennung von Bedrohungen wie RUYK, LockerGoga und anderen Ransomware-, Malware- und Cybercrime-Toolkits. Die Regel wurde vom Anbieter in Produktionsumgebungen getestet, um Fehlalarme zu minimieren. Und dank des SIGMA-Projekts erzeugen die meisten dieser Indikatoren eine minimale Anzahl von Lärmereignissen.
Weil In InTrust handelt es sich hierbei um eine Überwachungsregel. Sie können als Reaktion auf eine Bedrohung ein Antwortskript ausführen. Sie können eines der integrierten Skripte verwenden oder Ihr eigenes erstellen und InTrust verteilt es automatisch.
Darüber hinaus können Sie alle ereignisbezogenen Telemetriedaten überprüfen: PowerShell-Skripte, Prozessausführung, geplante Aufgabenmanipulationen, WMI-Verwaltungsaktivitäten, und sie für Post-Mortems bei Sicherheitsvorfällen verwenden.
InTrust verfügt über Hunderte weiterer Regeln, einige davon:
- Ein PowerShell-Downgrade-Angriff wird erkannt, wenn jemand absichtlich eine ältere Version von PowerShell verwendet, weil ... In der älteren Version gab es keine Möglichkeit zu prüfen, was gerade passierte.
- Bei der Erkennung hochprivilegierter Anmeldungen melden sich Konten, die Mitglieder einer bestimmten privilegierten Gruppe sind (z. B. Domänenadministratoren), versehentlich oder aufgrund von Sicherheitsvorfällen an Arbeitsstationen an.
Mit InTrust können Sie bewährte Sicherheitspraktiken in Form vordefinierter Erkennungs- und Reaktionsregeln nutzen. Und wenn Sie der Meinung sind, dass etwas anders funktionieren sollte, können Sie Ihre eigene Kopie der Regel erstellen und diese nach Bedarf konfigurieren. Einen Antrag auf Durchführung eines Pilotprojekts oder den Erwerb von Vertriebspaketen mit befristeten Lizenzen können Sie über einreichen auf unserer Website.
Abonnieren Sie unsere Wir veröffentlichen dort kurze Hinweise und interessante Links.
Lesen Sie unsere anderen Artikel zum Thema Informationssicherheit:
(beliebter Artikel)
Source: habr.com