Uno de los tipos de ataques más comunes es la generación de un proceso malicioso en un árbol bajo procesos completamente respetables. La ruta al archivo ejecutable puede resultar sospechosa: el malware suele utilizar las carpetas AppData o Temp, y esto no es típico de programas legítimos. Para ser justos, vale la pena decir que algunas utilidades de actualización automática se ejecutan en AppData, por lo que simplemente verificar la ubicación de inicio no es suficiente para confirmar que el programa es malicioso.
Un factor adicional de legitimidad es la firma criptográfica: muchos programas originales están firmados por el proveedor. Puede utilizar el hecho de que no existe una firma como método para identificar elementos de inicio sospechosos. Pero también existe malware que utiliza un certificado robado para firmar.
También puedes comprobar el valor de los hashes criptográficos MD5 o SHA256, que pueden corresponder a algún malware detectado previamente. Puede realizar un análisis estático mirando las firmas en el programa (usando reglas de Yara o productos antivirus). También existe el análisis dinámico (ejecutar un programa en algún entorno seguro y monitorear sus acciones) y la ingeniería inversa.
Puede haber muchos signos de un proceso malicioso. En este artículo le diremos cómo habilitar la auditoría de eventos relevantes en Windows, analizaremos los signos en los que se basa la regla integrada. para identificar un proceso sospechoso. InTrust es para recopilar, analizar y almacenar datos no estructurados, que ya tienen cientos de reacciones predefinidas a varios tipos de ataques.
Cuando se inicia el programa, se carga en la memoria de la computadora. El archivo ejecutable contiene instrucciones de computadora y bibliotecas de soporte (por ejemplo, *.dll). Cuando un proceso ya se está ejecutando, puede crear subprocesos adicionales. Los subprocesos permiten que un proceso ejecute diferentes conjuntos de instrucciones simultáneamente. Hay muchas formas de que el código malicioso penetre en la memoria y se ejecute; veamos algunas de ellas.
La forma más sencilla de iniciar un proceso malicioso es obligar al usuario a iniciarlo directamente (por ejemplo, desde un archivo adjunto de correo electrónico) y luego usar la tecla RunOnce para iniciarlo cada vez que se enciende la computadora. Esto también incluye malware "sin archivos" que almacena scripts de PowerShell en claves de registro que se ejecutan en función de un activador. En este caso, el script de PowerShell es un código malicioso.
El problema con la ejecución explícita de malware es que es un método conocido que se detecta fácilmente. Algunos programas maliciosos hacen cosas más inteligentes, como utilizar otro proceso para comenzar a ejecutarse en la memoria. Por lo tanto, un proceso puede crear otro proceso ejecutando una instrucción informática específica y especificando un archivo ejecutable (.exe) para ejecutar.
El archivo se puede especificar mediante una ruta completa (por ejemplo, C:Windowssystem32cmd.exe) o una ruta parcial (por ejemplo, cmd.exe). Si el proceso original no es seguro, permitirá que se ejecuten programas ilegítimos. Un ataque puede verse así: un proceso inicia cmd.exe sin especificar la ruta completa, el atacante coloca su cmd.exe en un lugar para que el proceso lo inicie antes que el legítimo. Una vez que el malware se ejecuta, puede a su vez iniciar un programa legítimo (como C:Windowssystem32cmd.exe) para que el programa original siga funcionando correctamente.
Una variación del ataque anterior es la inyección de DLL en un proceso legítimo. Cuando se inicia un proceso, busca y carga bibliotecas que amplían su funcionalidad. Al utilizar la inyección de DLL, un atacante crea una biblioteca maliciosa con el mismo nombre y API que una legítima. El programa carga una biblioteca maliciosa y, a su vez, carga una legítima y, según sea necesario, la llama para realizar operaciones. La biblioteca maliciosa comienza a actuar como proxy de la biblioteca buena.
Otra forma de guardar código malicioso en la memoria es insertarlo en un proceso inseguro que ya se esté ejecutando. Los procesos reciben información de varias fuentes: lectura de la red o archivos. Por lo general, realizan una verificación para garantizar que la entrada sea legítima. Pero algunos procesos no cuentan con la protección adecuada al ejecutar instrucciones. En este ataque, no hay ninguna biblioteca en el disco ni ningún archivo ejecutable que contenga código malicioso. Todo se almacena en la memoria junto con el proceso que se está explotando.
Ahora veamos la metodología para habilitar la recopilación de dichos eventos en Windows y la regla en InTrust que implementa la protección contra dichas amenazas. Primero, actívelo a través de la consola de administración de InTrust.
La regla utiliza las capacidades de seguimiento de procesos del sistema operativo Windows. Desafortunadamente, permitir la recopilación de tales eventos está lejos de ser obvio. Debe cambiar 3 configuraciones de política de grupo diferentes:
Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Política de auditoría > Seguimiento del proceso de auditoría
Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría > Políticas de auditoría > Seguimiento detallado > Creación de procesos de auditoría
Configuración del equipo > Políticas > Plantillas administrativas > Sistema > Creación de procesos de auditoría > Incluir línea de comando en eventos de creación de procesos
Una vez habilitadas, las reglas de InTrust le permiten detectar amenazas previamente desconocidas que exhiben un comportamiento sospechoso. Por ejemplo, puedes identificar Malware Dridex. Gracias al proyecto HP Bromium sabemos cómo funciona esta amenaza.
En su cadena de acciones, Dridex utiliza schtasks.exe para crear una tarea programada. El uso de esta utilidad particular desde la línea de comandos se considera un comportamiento muy sospechoso; iniciar svchost.exe con parámetros que apuntan a carpetas de usuario o con parámetros similares a los comandos “net view” o “whoami” tiene un aspecto similar. A continuación se muestra un fragmento del correspondiente. :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themEn InTrust, todos los comportamientos sospechosos están incluidos en una regla, porque la mayoría de estas acciones no son específicas de una amenaza particular, sino que son sospechosas en conjunto y en el 99% de los casos se utilizan para fines no del todo nobles. Esta lista de acciones incluye, entre otras:
- Procesos que se ejecutan desde ubicaciones inusuales, como carpetas temporales de usuarios.
- Proceso del sistema conocido con herencia sospechosa: algunas amenazas pueden intentar utilizar el nombre de los procesos del sistema para pasar desapercibidas.
- Ejecuciones sospechosas de herramientas administrativas como cmd o PsExec cuando utilizan credenciales del sistema local o herencia sospechosa.
- Las operaciones sospechosas de instantáneas son un comportamiento común de los virus ransomware antes de cifrar un sistema; eliminan las copias de seguridad:
— A través de vssadmin.exe;
- A través de WMI. - Registre volcados de colmenas de registro completas.
- Movimiento horizontal de código malicioso cuando un proceso se inicia de forma remota mediante comandos como at.exe.
- Operaciones sospechosas de grupos locales y operaciones de dominio utilizando net.exe.
- Actividad sospechosa del firewall usando netsh.exe.
- Manipulación sospechosa del LCA.
- Uso de BITS para la filtración de datos.
- Manipulaciones sospechosas con WMI.
- Comandos de script sospechosos.
- Intenta volcar archivos seguros del sistema.
La regla combinada funciona muy bien para detectar amenazas como RUYK, LockerGoga y otros kits de herramientas de ransomware, malware y delitos cibernéticos. El proveedor ha probado la regla en entornos de producción para minimizar los falsos positivos. Y gracias al proyecto SIGMA, la mayoría de estos indicadores producen un número mínimo de eventos de ruido.
Porque En InTrust, esta es una regla de monitoreo, puede ejecutar un script de respuesta como reacción a una amenaza. Puede utilizar uno de los scripts integrados o crear el suyo propio e InTrust lo distribuirá automáticamente.
Además, puede inspeccionar toda la telemetría relacionada con eventos: scripts de PowerShell, ejecución de procesos, manipulaciones de tareas programadas, actividad administrativa de WMI y utilizarlos para autopsias durante incidentes de seguridad.
InTrust tiene cientos de otras reglas, algunas de ellas:
- La detección de un ataque de degradación de PowerShell se produce cuando alguien utiliza deliberadamente una versión anterior de PowerShell porque... en la versión anterior no había forma de auditar lo que estaba sucediendo.
- La detección de inicio de sesión con privilegios elevados se produce cuando cuentas que son miembros de un determinado grupo privilegiado (como administradores de dominio) inician sesión en estaciones de trabajo por accidente o debido a incidentes de seguridad.
InTrust le permite utilizar las mejores prácticas de seguridad en forma de reglas de detección y reacción predefinidas. Y si cree que algo debería funcionar de manera diferente, puede crear su propia copia de la regla y configurarla según sea necesario. Puede enviar una solicitud para realizar un piloto u obtener kits de distribución con licencias temporales a través de en nuestro sitio web.
Suscríbete a nuestro , publicamos allí notas breves y enlaces interesantes.
Lea nuestros otros artículos sobre seguridad de la información:
(artículo popular)
Fuente: habr.com