🥇Lubage kahtlaste protsesside käivitamise kohta sündmuste kogumine Windows ja tuvastage ohte Quest InTrusti abil

Üks levinumaid rünnete liike on pahatahtliku protsessi kudemine puusse täiesti arvestatavate protsesside käigus. Täitmisfaili tee võib olla kahtlane: pahavara kasutab sageli AppData või Temp kaustu ja see pole seaduslike programmide puhul tüüpiline. Ausalt öeldes tasub öelda, et mõned automaatsed värskendusutiliidid käivitatakse rakenduses AppData, seega ei piisa ainult käivituskoha kontrollimisest, et kinnitada, et programm on pahatahtlik.

Täiendav legitiimsuse tegur on krüptograafiline allkiri: paljud originaalprogrammid on allkirjastatud müüja poolt. Kahtlaste käivitusüksuste tuvastamise meetodina saate kasutada asjaolu, et allkirja pole. Aga siis jälle on pahavara, mis kasutab enda allkirjastamiseks varastatud sertifikaati.

Samuti saate kontrollida MD5 või SHA256 krüptograafiliste räside väärtust, mis võivad vastata mõnele varem tuvastatud pahavarale. Saate teha staatilist analüüsi, vaadates programmi allkirju (kasutades Yara reegleid või viirusetõrjetooteid). Samuti on olemas dünaamiline analüüs (programmi käivitamine mõnes turvalises keskkonnas ja selle toimingute jälgimine) ja pöördprojekteerimine.

Pahatahtlikule protsessile võib viidata palju märke. Selles artiklis selgitame, kuidas lubada asjakohaste sündmuste auditeerimist Windows, vaatame funktsioone, millel sisseehitatud reegel põhineb Usaldus kahtlase protsessi tuvastamiseks. Usaldus on CLM platvorm struktureerimata andmete kogumiseks, analüüsimiseks ja salvestamiseks, millel on juba sadu eelmääratletud reaktsioone erinevat tüüpi rünnakutele.

Programmi käivitamisel laaditakse see arvuti mällu. Käivitatav fail sisaldab arvutikäske ja toetavaid teeke (näiteks *.dll). Kui protsess juba töötab, võib see luua täiendavaid lõime. Lõimed võimaldavad protsessil korraga täita erinevaid käskude komplekte. Pahatahtlikul koodil on palju võimalusi mällu tungimiseks ja käivitamiseks, vaatame mõnda neist.

Lihtsaim viis pahatahtliku protsessi käivitamiseks on sundida kasutajat seda otse käivitama (näiteks meilimanusest), seejärel käivitage see klahvi RunOnce abil iga kord, kui arvuti sisse lülitatakse. See hõlmab ka "failideta" pahavara, mis salvestab PowerShelli skripte registrivõtmetesse, mis käivitatakse päästiku alusel. Sel juhul on PowerShelli skript pahatahtlik kood.

Pahavara selgesõnalise käitamise probleem seisneb selles, et see on tuntud lähenemisviis, mida on lihtne tuvastada. Mõni pahavara teeb nutikamaid asju, näiteks kasutab mõnda muud protsessi mälus käivitamiseks. Seetõttu saab protsess luua teise protsessi, käivitades konkreetse arvutikäsu ja määrates käivitatava faili (.exe).

Faili saab määrata täieliku tee abil (nt C:Windowssystem32cmd.exe) või mittetäielik protsess (näiteks cmd.exe). Kui algne protsess on ebaturvaline, lubab see ebaseaduslikel programmidel käivituda. Rünnak võib välja näha umbes selline: protsess käivitab cmd.exe ilma täielikku teed määramata ja ründaja paigutab oma cmd.exe faili asukohta, kus protsess käivitab selle enne õigustatud programmi. Pärast käivitamist saab pahatahtlik programm omakorda käivitada õigustatud programmi (näiteks C:Windowssystem32cmd.exe), et algne programm jätkaks korralikku toimimist.

Eelmise rünnaku variatsioon on DLL-i süstimine seaduslikku protsessi. Kui protsess käivitub, otsib ja laadib see teeke, mis laiendavad selle funktsionaalsust. DLL-i süsti kasutades loob ründaja pahatahtliku teegi, millel on sama nimi ja API kui seaduslik tee. Programm laadib pahatahtliku teegi ja see omakorda seadusliku teegi ning vajadusel kutsub seda toimingute tegemiseks. Pahatahtlik raamatukogu hakkab toimima hea raamatukogu puhverserverina.

Teine viis pahatahtliku koodi mällu sisestamiseks on sisestada see juba töötavasse ebaturvalisse protsessi. Protsessid saavad sisendit erinevatest allikatest – lugemine võrgust või failidest. Tavaliselt kontrollivad nad sisendi õigsust. Kuid mõnel protsessil puudub juhiste täitmisel korralik kaitse. Selle rünnaku korral pole kettal ühtegi teeki ega ründekoodi sisaldavat käivitatavat faili. Kõik salvestatakse mällu koos kasutatava protsessiga.

Nüüd vaatame metoodikat selliste sündmuste kogumise kaasamiseks Windows Ja InTrusti reegliga, mis rakendab kaitset selliste ohtude eest. Esmalt aktiveerime selle InTrusti halduskonsooli kaudu.

Reegel kasutab operatsioonisüsteemi protsesside jälgimise võimalusi WindowsKahjuks pole selliste sündmuste kogumise lubamine kaugeltki lihtne. Muuta tuleb kolme erinevat rühmapoliitika sätet:

Arvuti konfiguratsioon > Poliitikad > Windows Seaded > Turvaseaded > Kohalikud poliitikad > Auditipoliitika > Auditiprotsessi jälgimine

Arvuti konfiguratsioon > Poliitikad > Windows Seaded > Turbesätted > Täpsem auditeerimispoliitika konfiguratsioon > Auditeerimispoliitikad > Üksikasjalik jälgimine > Auditeerimisprotsessi loomine

Arvuti konfiguratsioon > Reeglid > Haldusmallid > Süsteem > Kontrolli protsessi loomist > Kaasa protsessi loomise sündmustesse käsurida

Pärast lubamist võimaldavad InTrusti reeglid tuvastada kahtlase käitumisega varem tundmatuid ohte. Näiteks saate tuvastada siin kirjeldatud Dridex pahavara. Tänu projektile HP Bromium teame, kuidas see oht toimib.

Dridex kasutab oma tegevusahelas ajastatud ülesande loomiseks faili schtasks.exe. Selle konkreetse utiliidi kasutamist käsurealt peetakse väga kahtlaseks käitumiseks; svchost.exe käivitamine parameetritega, mis osutavad kasutaja kaustadele või käskudele „net view” või „whoami”, on sarnased. Siin on fragment vastavast SIGMA reeglid:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrustis on kogu kahtlane käitumine kaasatud ühte reeglisse, kuna enamik neist tegevustest ei ole konkreetse ohuga seotud, vaid pigem kahtlased kompleksis ja 99% juhtudest kasutatakse neid mitte täiesti üllastel eesmärkidel. See toimingute loend sisaldab, kuid ei piirdu:

Protsessid, mis töötavad ebatavalistest kohtadest, näiteks kasutaja ajutistest kaustadest.
Tuntud kahtlase pärandusega süsteemiprotsess – mõned ohud võivad püüda kasutada süsteemiprotsesside nimesid, et jääda avastamata.
Haldustööriistade (nt cmd või PsExec) kahtlased käivitamised, kui need kasutavad kohaliku süsteemi mandaate või kahtlast pärandit.
Kahtlased varikoopiatoimingud on lunavaraviiruste tavaline käitumine enne süsteemi krüptimist; need tapavad varukoopiad:
— vssadmin.exe kaudu;
- WMI kaudu.
Registreerige kogu registritaru prügimäed.
Pahatahtliku koodi horisontaalne liikumine, kui protsess käivitatakse eemalt, kasutades selliseid käske nagu at.exe.
Kahtlased kohaliku rühma toimingud ja domeenitoimingud net.exe abil.
Kahtlane tulemüüri tegevus netsh.exe abil.
ACL-i kahtlane manipuleerimine.
BITS-i kasutamine andmete väljafiltreerimiseks.
Kahtlased manipulatsioonid WMI-ga.
Kahtlased skriptikäsud.
Püüab kustutada turvalised süsteemifailid.

Kombineeritud reegel töötab väga hästi selliste ohtude tuvastamiseks nagu RUYK, LockerGoga ja muud lunavara, pahavara ja küberkuritegevuse tööriistakomplektid. Müüja on reeglit testinud tootmiskeskkondades, et minimeerida valepositiivseid tulemusi. Ja tänu SIGMA projektile tekitab enamik neist näitajatest minimaalse arvu mürasündmusi.

Sest InTrustis on see jälgimisreegel, saate vastuse skripti käivitada vastusena ohule. Võite kasutada ühte sisseehitatud skriptidest või luua oma ja InTrust levitab seda automaatselt.

Lisaks saate kontrollida kogu sündmustega seotud telemeetriat: PowerShelli skripte, protsesside täitmist, ajastatud ülesannetega manipuleerimist, WMI haldustegevust ja kasutada neid turbeintsidentide ajal surmajärgseteks uuringuteks.

InTrustil on sadu muid reegleid, mõned neist:

PowerShelli alandamise rünnak tuvastatakse siis, kui keegi kasutab tahtlikult PowerShelli vanemat versiooni, kuna... vanemas versioonis ei olnud võimalik toimuvat auditeerida.
Kõrge privileegiga sisselogimise tuvastamine on siis, kui teatud privilegeeritud rühma (nt domeeni administraatorid) kuuluvad kontod logivad juhuslikult või turvaintsidentide tõttu tööjaamadesse sisse.

InTrust võimaldab teil kasutada parimaid turvatavasid eelmääratletud tuvastamis- ja reageerimisreeglite kujul. Ja kui arvate, et miski peaks toimima teisiti, saate reeglist ise koopia teha ja seda vastavalt vajadusele konfigureerida. Taotluse piloodi läbiviimiseks või ajutiste litsentsidega jaotuskomplektide saamiseks saate esitada läbi tagasiside vorm meie veebisaidil.

Telli meie Facebooki leht, avaldame seal lühikesed märkmed ja huvitavad lingid.

Lugege meie teisi infoturbeteemalisi artikleid:

Kuidas InTrust aitab vähendada ebaõnnestunud autoriseerimiskatsete arvu RDP kaudu

Tuvastame lunavararünnaku, saame juurdepääsu domeenikontrollerile ja proovime neile rünnakutele vastu seista

Millist kasulikku teavet saab operatsioonisüsteemipõhise tööjaama logidest eraldada? Windows (populaarne artikkel)

Kasutajate elutsükli jälgimine ilma tangide või kleeplindita

Kes seda tegi? Automatiseerime infoturbe auditeid

Kuidas vähendada SIEM-süsteemi omamiskulusid ja miks on vaja kesklogihaldust (CLM)

Allikas: www.habr.com