Üks levinumaid rünnete liike on pahatahtliku protsessi kudemine puusse täiesti arvestatavate protsesside käigus. Täitmisfaili tee võib olla kahtlane: pahavara kasutab sageli AppData või Temp kaustu ja see pole seaduslike programmide puhul tüüpiline. Ausalt öeldes tasub öelda, et mõned automaatsed värskendusutiliidid käivitatakse rakenduses AppData, seega ei piisa ainult käivituskoha kontrollimisest, et kinnitada, et programm on pahatahtlik.
Täiendav legitiimsuse tegur on krüptograafiline allkiri: paljud originaalprogrammid on allkirjastatud müüja poolt. Kahtlaste käivitusüksuste tuvastamise meetodina saate kasutada asjaolu, et allkirja pole. Aga siis jälle on pahavara, mis kasutab enda allkirjastamiseks varastatud sertifikaati.
Samuti saate kontrollida MD5 või SHA256 krüptograafiliste räside väärtust, mis võivad vastata mõnele varem tuvastatud pahavarale. Saate teha staatilist analüüsi, vaadates programmi allkirju (kasutades Yara reegleid või viirusetõrjetooteid). Samuti on olemas dünaamiline analüüs (programmi käivitamine mõnes turvalises keskkonnas ja selle toimingute jälgimine) ja pöördprojekteerimine.
Pahatahtliku protsessi märke võib olla palju. Selles artiklis räägime teile, kuidas lubada Windowsis asjakohaste sündmuste auditeerimist, analüüsime märke, millele sisseehitatud reegel tugineb kahtlase protsessi tuvastamiseks. Usaldus on struktureerimata andmete kogumiseks, analüüsimiseks ja salvestamiseks, millel on juba sadu eelmääratletud reaktsioone erinevat tüüpi rünnakutele.
Programmi käivitamisel laaditakse see arvuti mällu. Käivitatav fail sisaldab arvutikäske ja toetavaid teeke (näiteks *.dll). Kui protsess juba töötab, võib see luua täiendavaid lõime. Lõimed võimaldavad protsessil korraga täita erinevaid käskude komplekte. Pahatahtlikul koodil on palju võimalusi mällu tungimiseks ja käivitamiseks, vaatame mõnda neist.
Lihtsaim viis pahatahtliku protsessi käivitamiseks on sundida kasutajat seda otse käivitama (näiteks meilimanusest), seejärel käivitage see klahvi RunOnce abil iga kord, kui arvuti sisse lülitatakse. See hõlmab ka "failideta" pahavara, mis salvestab PowerShelli skripte registrivõtmetesse, mis käivitatakse päästiku alusel. Sel juhul on PowerShelli skript pahatahtlik kood.
Pahavara selgesõnalise käitamise probleem seisneb selles, et see on tuntud lähenemisviis, mida on lihtne tuvastada. Mõni pahavara teeb nutikamaid asju, näiteks kasutab mõnda muud protsessi mälus käivitamiseks. Seetõttu saab protsess luua teise protsessi, käivitades konkreetse arvutikäsu ja määrates käivitatava faili (.exe).
Faili saab määrata täistee (nt C:Windowssystem32cmd.exe) või osalise tee (näiteks cmd.exe) abil. Kui algne protsess on ebaturvaline, võimaldab see käivitada ebaseaduslikke programme. Rünnak võib välja näha selline: protsess käivitab cmd.exe ilma täielikku teed määramata, ründaja asetab oma cmd.exe kohta, nii et protsess käivitab selle enne seaduslikku. Kui pahavara käivitub, võib see omakorda käivitada seadusliku programmi (nt C:Windowssystem32cmd.exe), et algne programm korralikult töötaks.
Eelmise rünnaku variatsioon on DLL-i süstimine seaduslikku protsessi. Kui protsess käivitub, otsib ja laadib see teeke, mis laiendavad selle funktsionaalsust. DLL-i süsti kasutades loob ründaja pahatahtliku teegi, millel on sama nimi ja API kui seaduslik tee. Programm laadib pahatahtliku teegi ja see omakorda seadusliku teegi ning vajadusel kutsub seda toimingute tegemiseks. Pahatahtlik raamatukogu hakkab toimima hea raamatukogu puhverserverina.
Teine viis pahatahtliku koodi mällu sisestamiseks on sisestada see juba töötavasse ebaturvalisse protsessi. Protsessid saavad sisendit erinevatest allikatest – lugemine võrgust või failidest. Tavaliselt kontrollivad nad sisendi õigsust. Kuid mõnel protsessil puudub juhiste täitmisel korralik kaitse. Selle rünnaku korral pole kettal ühtegi teeki ega ründekoodi sisaldavat käivitatavat faili. Kõik salvestatakse mällu koos kasutatava protsessiga.
Vaatame nüüd metoodikat selliste sündmuste kogumise lubamiseks Windowsis ja InTrusti reeglit, mis rakendab selliste ohtude eest kaitset. Esiteks aktiveerime selle InTrusti halduskonsooli kaudu.
Reegel kasutab Windows OS-i protsesside jälgimise võimalusi. Kahjuks pole selliste sündmuste kogumise võimaldamine kaugeltki ilmne. Peate muutma 3 erinevat rühmapoliitika seadet:
Arvuti konfiguratsioon > Poliitika > Windowsi sätted > Turvasätted > Kohalikud poliitikad > Auditipoliitika > Auditiprotsessi jälgimine
Arvuti konfiguratsioon > Reeglid > Windowsi sätted > Turvasätted > Auditipoliitika täpsem konfiguratsioon > Auditipoliitikad > Üksikasjalik jälgimine > Auditiprotsessi loomine
Arvuti konfiguratsioon > Reeglid > Haldusmallid > Süsteem > Kontrolli protsessi loomist > Kaasa protsessi loomise sündmustesse käsurida
Pärast lubamist võimaldavad InTrusti reeglid tuvastada kahtlase käitumisega varem tundmatuid ohte. Näiteks saate tuvastada Dridex pahavara. Tänu projektile HP Bromium teame, kuidas see oht toimib.
Dridex kasutab oma tegevusahelas ajastatud ülesande loomiseks faili schtasks.exe. Selle konkreetse utiliidi kasutamist käsurealt peetakse väga kahtlaseks käitumiseks; svchost.exe käivitamine parameetritega, mis osutavad kasutaja kaustadele või käskudele „net view” või „whoami”, on sarnased. Siin on fragment vastavast :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrustis on kogu kahtlane käitumine kaasatud ühte reeglisse, kuna enamik neist tegevustest ei ole konkreetse ohuga seotud, vaid pigem kahtlased kompleksis ja 99% juhtudest kasutatakse neid mitte täiesti üllastel eesmärkidel. See toimingute loend sisaldab, kuid ei piirdu:
- Protsessid, mis töötavad ebatavalistest kohtadest, näiteks kasutaja ajutistest kaustadest.
- Tuntud kahtlase pärandusega süsteemiprotsess – mõned ohud võivad püüda kasutada süsteemiprotsesside nimesid, et jääda avastamata.
- Haldustööriistade (nt cmd või PsExec) kahtlased käivitamised, kui need kasutavad kohaliku süsteemi mandaate või kahtlast pärandit.
- Kahtlased varikoopiatoimingud on lunavaraviiruste tavaline käitumine enne süsteemi krüptimist; need tapavad varukoopiad:
— vssadmin.exe kaudu;
- WMI kaudu. - Registreerige kogu registritaru prügimäed.
- Pahatahtliku koodi horisontaalne liikumine, kui protsess käivitatakse eemalt, kasutades selliseid käske nagu at.exe.
- Kahtlased kohaliku rühma toimingud ja domeenitoimingud net.exe abil.
- Kahtlane tulemüüri tegevus netsh.exe abil.
- ACL-i kahtlane manipuleerimine.
- BITS-i kasutamine andmete väljafiltreerimiseks.
- Kahtlased manipulatsioonid WMI-ga.
- Kahtlased skriptikäsud.
- Püüab kustutada turvalised süsteemifailid.
Kombineeritud reegel töötab väga hästi selliste ohtude tuvastamiseks nagu RUYK, LockerGoga ja muud lunavara, pahavara ja küberkuritegevuse tööriistakomplektid. Müüja on reeglit testinud tootmiskeskkondades, et minimeerida valepositiivseid tulemusi. Ja tänu SIGMA projektile tekitab enamik neist näitajatest minimaalse arvu mürasündmusi.
Sest InTrustis on see jälgimisreegel, saate vastuse skripti käivitada vastusena ohule. Võite kasutada ühte sisseehitatud skriptidest või luua oma ja InTrust levitab seda automaatselt.
Lisaks saate kontrollida kogu sündmustega seotud telemeetriat: PowerShelli skripte, protsesside täitmist, ajastatud ülesannetega manipuleerimist, WMI haldustegevust ja kasutada neid turbeintsidentide ajal surmajärgseteks uuringuteks.
InTrustil on sadu muid reegleid, mõned neist:
- PowerShelli alandamise rünnak tuvastatakse siis, kui keegi kasutab tahtlikult PowerShelli vanemat versiooni, kuna... vanemas versioonis ei olnud võimalik toimuvat auditeerida.
- Kõrge privileegiga sisselogimise tuvastamine on siis, kui teatud privilegeeritud rühma (nt domeeni administraatorid) kuuluvad kontod logivad juhuslikult või turvaintsidentide tõttu tööjaamadesse sisse.
InTrust võimaldab teil kasutada parimaid turvatavasid eelmääratletud tuvastamis- ja reageerimisreeglite kujul. Ja kui arvate, et miski peaks toimima teisiti, saate reeglist ise koopia teha ja seda vastavalt vajadusele konfigureerida. Taotluse piloodi läbiviimiseks või ajutiste litsentsidega jaotuskomplektide saamiseks saate esitada läbi meie veebisaidil.
Telli meie , avaldame seal lühikesed märkmed ja huvitavad lingid.
Lugege meie teisi infoturbeteemalisi artikleid:
(populaarne artikkel)
Allikas: www.habr.com