Unu el la plej oftaj specoj de atakoj estas la generado de malica procezo en arbo sub tute respektindaj procezoj. La vojo al la plenumebla dosiero povas esti suspektinda: malware ofte uzas la dosierujojn AppData aŭ Temp, kaj ĉi tio ne estas tipa por legitimaj programoj. Por esti juste, indas diri, ke iuj aŭtomataj ĝisdatigaj utilecoj estas ekzekutitaj en AppData, do nur kontroli la lanĉlokon ne sufiĉas por konfirmi, ke la programo estas malica.
Plia faktoro de legitimeco estas ĉifrika subskribo: multaj originalaj programoj estas subskribitaj de la vendisto. Vi povas uzi la fakton, ke ne ekzistas subskribo kiel metodo por identigi suspektindajn startajn erojn. Sed denove ekzistas malware, kiu uzas ŝtelitan atestilon por subskribi sin.
Vi ankaŭ povas kontroli la valoron de MD5 aŭ SHA256 ĉifrikaj hashoj, kiuj povas respondi al iu antaŭe detektita malware. Vi povas fari statikan analizon rigardante subskribojn en la programo (uzante Yara-regulojn aŭ kontraŭvirusajn produktojn). Ekzistas ankaŭ dinamika analizo (funkciado de programo en iu sekura medio kaj monitorado de ĝiaj agoj) kaj inversa inĝenierado.
Povas esti multaj signoj de malica procezo. En ĉi tiu artikolo ni diros al vi kiel ebligi revizion de koncernaj eventoj en Vindozo, ni analizos la signojn, sur kiuj dependas de la enkonstruita regulo. identigi suspektindan procezon. Fido estas por kolekti, analizi kaj stoki nestrukturitajn datumojn, kiuj jam havas centojn da antaŭdifinitaj reagoj al diversaj specoj de atakoj.
Kiam la programo estas lanĉita, ĝi estas ŝarĝita en la memoron de la komputilo. La rulebla dosiero enhavas komputilajn instrukciojn kaj subtenajn bibliotekojn (ekzemple *.dll). Kiam procezo jam funkcias, ĝi povas krei pliajn fadenojn. Fadenoj permesas al procezo ekzekuti malsamajn arojn de instrukcioj samtempe. Estas multaj manieroj por malica kodo penetri memoron kaj kuri, ni rigardu kelkajn el ili.
La plej facila maniero lanĉi malican procezon estas devigi la uzanton lanĉi ĝin rekte (ekzemple, de retpoŝta aldonaĵo), poste uzi la klavon RunOnce por lanĉi ĝin ĉiufoje kiam la komputilo estas ŝaltita. Ĉi tio ankaŭ inkluzivas "sendosierajn" malware, kiuj stokas PowerShell-skriptojn en registraj ŝlosiloj, kiuj estas ekzekutitaj surbaze de ellasilo. En ĉi tiu kazo, la PowerShell-skripto estas malica kodo.
La problemo kun eksplicite kuranta malware estas ke ĝi estas konata aliro kiu estas facile detektita. Iuj malware faras pli lertajn aferojn, kiel uzi alian procezon por komenci ekzekuti en memoro. Tial, procezo povas krei alian procezon prizorgante specifan komputilan instrukcion kaj precizigante ruleblan dosieron (.exe) por ruli.
La dosiero povas esti specifita per plena vojo (ekzemple, C:Windowssystem32cmd.exe) aŭ parta vojo (ekzemple, cmd.exe). Se la origina procezo estas nesekura, ĝi permesos al nelegitimaj programoj funkcii. Atako povas aspekti jene: procezo lanĉas cmd.exe sen specifi la plenan vojon, la atakanto metas sian cmd.exe en lokon tiel ke la procezo lanĉas ĝin antaŭ la legitima. Post kiam la malware funkcias, ĝi povas siavice lanĉi laŭleĝan programon (kiel ekzemple C:Windowssystem32cmd.exe) por ke la origina programo daŭre funkcias ĝuste.
Variaĵo de la antaŭa atako estas DLL-injekto en legitiman procezon. Kiam procezo komenciĝas, ĝi trovas kaj ŝarĝas bibliotekojn kiuj etendas ĝian funkciecon. Uzante DLL-injekton, atakanto kreas malican bibliotekon kun la sama nomo kaj API kiel legitima. La programo ŝarĝas malican bibliotekon, kaj ĝi, siavice, ŝarĝas legitiman, kaj, laŭbezone, vokas ĝin por fari operaciojn. La malica biblioteko komencas funkcii kiel prokurilo por la bona biblioteko.
Alia maniero meti malican kodon en memoron estas enigi ĝin en nesekuran procezon, kiu jam funkcias. Procezoj ricevas enigaĵon de diversaj fontoj - legado de la reto aŭ dosieroj. Ili kutime faras kontrolon por certigi, ke la enigo estas legitima. Sed iuj procezoj ne havas taŭgan protekton dum plenumado de instrukcioj. En ĉi tiu atako, ekzistas neniu biblioteko sur disko aŭ rulebla dosiero enhavanta malican kodon. Ĉio estas konservita en memoro kune kun la procezo ekspluatata.
Nun ni rigardu la metodaron por ebligi la kolekton de tiaj eventoj en Vindozo kaj la regulon en InTrust, kiu efektivigas protekton kontraŭ tiaj minacoj. Unue, ni aktivigu ĝin per la administra konzolo InTrust.
La regulo uzas la procezspurajn kapablojn de Windows OS. Bedaŭrinde, ebligi la kolekton de tiaj eventoj estas fore de evidenta. Estas 3 malsamaj agordoj de Grupo-Politiko, kiujn vi devas ŝanĝi:
Komputila Agordo > Politikoj > Vindozaj Agordoj > Sekurecaj Agordoj > Lokaj Politikoj > Revizia Politiko > Aŭdiga procezo-spurado
Komputila Agordo > Politikoj > Vindozaj Agordoj > Sekurecaj Agordoj > Altnivela Agordo-Politiko > Kontrolaj Politikoj > Detala Spurado > Kreado de procezo de revizio
Komputila Agordo > Politikoj > Administraj Ŝablonoj > Sistemo > Kontrola Procezo-Kreado > Inkluzivi komandlinion en procezo-kreaj eventoj
Post kiam ebligitaj, InTrust-reguloj permesas vin detekti antaŭe nekonatajn minacojn, kiuj elmontras suspektindan konduton. Ekzemple, vi povas identigi Dridex malware. Danke al la projekto HP Bromium, ni scias kiel funkcias ĉi tiu minaco.
En ĝia ĉeno de agoj, Dridex uzas schtasks.exe por krei planitan taskon. Uzi ĉi tiun specialan ilon de la komandlinio estas konsiderata tre suspektinda konduto; lanĉi svchost.exe kun parametroj kiuj montras al uzantdosierujoj aŭ kun parametroj similaj al la "reta vido" aŭ "whoami" komandoj aspektas simila. Jen fragmento de la responda :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themEn InTrust, ĉiuj suspektindaj kondutoj estas inkluzivitaj en unu regulo, ĉar la plej multaj el ĉi tiuj agoj ne estas specifaj por aparta minaco, sed prefere estas suspektindaj en komplekso kaj en 99% de kazoj estas uzataj por ne tute noblaj celoj. Ĉi tiu listo de agoj inkluzivas, sed ne estas limigitaj al:
- Procezoj kurantaj de nekutimaj lokoj, kiel provizoraj dosierujoj de uzanto.
- Konata sistema procezo kun suspektinda heredo - iuj minacoj povas provi uzi la nomon de sistemaj procezoj por resti nerimarkitaj.
- Suspektindaj ekzekutoj de administraj iloj kiel cmd aŭ PsExec kiam ili uzas lokajn sistemajn akreditaĵojn aŭ suspektindan heredon.
- Suspektindaj ombra kopiaj operacioj estas ofta konduto de ransomware-virusoj antaŭ ĉifrado de sistemo; ili mortigas sekurkopiojn:
— Per vssadmin.exe;
- Per WMI. - Registri rubejojn de tutaj registraj abelujoj.
- Horizontala movado de malica kodo kiam procezo estas lanĉita malproksime uzante komandojn kiel ĉe.exe.
- Suspektindaj lokaj grupoperacioj kaj domajnaj operacioj uzante net.exe.
- Suspektinda fajroŝirmilo agado uzante netsh.exe.
- Suspektinda manipulado de la ACL.
- Uzante BITS por datuma eksfiltrado.
- Suspektindaj manipuladoj kun WMI.
- Suspektindaj skriptokomandoj.
- Provoj forĵeti sekurajn sistemajn dosierojn.
La kombinita regulo funkcias tre bone por detekti minacojn kiel ekzemple RUYK, LockerGoga kaj aliaj ransomware, malware kaj ciberkrima ilaro. La regulo estis testita de la vendisto en produktadmedioj por minimumigi falsajn pozitivojn. Kaj danke al la projekto SIGMA, la plej multaj el ĉi tiuj indikiloj produktas minimuman nombron da bruaj eventoj.
Ĉar En InTrust ĉi tio estas monitora regulo, vi povas ekzekuti respondan skripton kiel reago al minaco. Vi povas uzi unu el la enkonstruitaj skriptoj aŭ krei vian propran kaj InTrust aŭtomate distribuos ĝin.
Krome, vi povas inspekti ĉiun evento-rilatan telemetrion: PowerShell-skriptoj, procezekzekuto, planitaj taskaj manipuladoj, WMI-administra agado, kaj uzi ilin por postmortems dum sekurecaj okazaĵoj.
InTrust havas centojn da aliaj reguloj, kelkaj el ili:
- Detekti PowerShell-malaltnivelan atakon estas kiam iu intence uzas pli malnovan version de PowerShell ĉar... en la pli malnova versio ne estis maniero kontroli kio okazis.
- Alt-privilegia ensalutdetekto estas kiam kontoj kiuj estas membroj de certa privilegiita grupo (kiel domajnaj administrantoj) ensalutas al laborstacioj hazarde aŭ pro sekurecaj okazaĵoj.
InTrust permesas al vi uzi plej bonajn sekurecajn praktikojn en la formo de antaŭdifinitaj detektado kaj reago reguloj. Kaj se vi pensas, ke io devus funkcii alimaniere, vi povas fari vian propran kopion de la regulo kaj agordi ĝin laŭbezone. Vi povas sendi peton por fari piloton aŭ akiri distribuajn ilojn kun provizoraj permesiloj en nia retejo.
Abonu nian , ni publikigas tie mallongajn notojn kaj interesajn ligilojn.
Legu niajn aliajn artikolojn pri informa sekureco:
(populara artikolo)
fonto: www.habr.com