Yksi yleisimmistä hyökkäyksistä on haitallisen prosessin syntyminen puuhun täysin kunnioitettavien prosessien alla. Suoritettavan tiedoston polku voi olla epäilyttävä: haittaohjelmat käyttävät usein AppData- tai Temp-kansioita, eikä tämä ole tyypillistä laillisille ohjelmille. Ollakseni rehellinen, on syytä sanoa, että jotkin automaattiset päivitysapuohjelmat suoritetaan AppDatassa, joten pelkkä käynnistyspaikan tarkistaminen ei riitä varmistamaan, että ohjelma on haitallinen.
Toinen legitiimiystekijä on kryptografinen allekirjoitus: monet alkuperäiset ohjelmat ovat toimittajan allekirjoittamia. Voit käyttää sitä, että allekirjoitusta ei ole, keinona tunnistaa epäilyttävät käynnistyskohteet. Mutta sitten taas on haittaohjelma, joka käyttää varastettua varmennetta allekirjoittaakseen itsensä.
Voit myös tarkistaa MD5- tai SHA256-salaushajautusarvot, jotka saattavat vastata joitain aiemmin havaittuja haittaohjelmia. Voit suorittaa staattisen analyysin tarkastelemalla ohjelman allekirjoituksia (käyttämällä Yaran sääntöjä tai virustorjuntatuotteita). Mukana on myös dynaaminen analyysi (ohjelman suorittaminen jossain turvallisessa ympäristössä ja sen toimintojen seuranta) ja käänteinen suunnittelu.
Haitallisesta prosessista voi olla monia merkkejä. Tässä artikkelissa kerromme, kuinka asiaankuuluvien tapahtumien tarkastus otetaan käyttöön Windowsissa, analysoimme merkkejä, joihin sisäänrakennettu sääntö perustuu epäilyttävän prosessin tunnistamiseksi. InTrust on jäsentämättömän tiedon keräämiseen, analysointiin ja tallentamiseen, jolla on jo satoja ennalta määritettyjä reaktioita erilaisiin hyökkäyksiin.
Kun ohjelma käynnistetään, se ladataan tietokoneen muistiin. Suoritettava tiedosto sisältää tietokoneen ohjeet ja niitä tukevat kirjastot (esimerkiksi *.dll). Kun prosessi on jo käynnissä, se voi luoda lisäsäikeitä. Säikeet sallivat prosessin suorittaa erilaisia käskyjoukkoja samanaikaisesti. Haitallisella koodilla on monia tapoja tunkeutua muistiin ja suorittaa niitä, katsotaanpa joitain niistä.
Helpoin tapa käynnistää haitallinen prosessi on pakottaa käyttäjä käynnistämään se suoraan (esimerkiksi sähköpostin liitetiedostosta) ja käynnistämään se sitten RunOnce-näppäimellä aina, kun tietokone käynnistetään. Tämä sisältää myös "tiedostottomat" haittaohjelmat, jotka tallentavat PowerShell-komentosarjat rekisteriavaimiin, jotka suoritetaan liipaisimen perusteella. Tässä tapauksessa PowerShell-komentosarja on haitallista koodia.
Eksplisiittisesti käynnissä olevien haittaohjelmien ongelma on, että se on tunnettu lähestymistapa, joka on helposti havaittavissa. Jotkut haittaohjelmat tekevät älykkäämpiä asioita, kuten käyttävät toista prosessia käynnistääkseen suorituksen muistissa. Siksi prosessi voi luoda toisen prosessin suorittamalla tietyn tietokonekäskyn ja määrittämällä suoritettavan tiedoston (.exe).
Tiedosto voidaan määrittää käyttämällä täyttä polkua (esimerkiksi C:Windowssystem32cmd.exe) tai osittaista polkua (esimerkiksi cmd.exe). Jos alkuperäinen prosessi on epävarma, se sallii laittomien ohjelmien suorittamisen. Hyökkäys voi näyttää tältä: prosessi käynnistää cmd.exe-tiedoston määrittelemättä koko polkua, hyökkääjä sijoittaa cmd.exe-tiedostonsa paikkaan niin, että prosessi käynnistää sen ennen laillista. Kun haittaohjelma on suoritettu, se voi puolestaan käynnistää laillisen ohjelman (kuten C:Windowssystem32cmd.exe), jotta alkuperäinen ohjelma toimii edelleen oikein.
Edellisen hyökkäyksen muunnelma on DLL-injektio lailliseen prosessiin. Kun prosessi käynnistyy, se etsii ja lataa kirjastoja, jotka laajentavat sen toimintoja. Käyttämällä DLL-injektiota hyökkääjä luo haitallisen kirjaston, jolla on sama nimi ja API kuin laillinen. Ohjelma lataa haitallisen kirjaston, ja se puolestaan lataa laillisen kirjaston ja tarvittaessa kutsuu sitä suorittamaan toimintoja. Haitallinen kirjasto alkaa toimia hyvän kirjaston välityspalvelimena.
Toinen tapa lisätä haitallista koodia muistiin on lisätä se vaaralliseen prosessiin, joka on jo käynnissä. Prosessit saavat syötteitä eri lähteistä - lukeminen verkosta tai tiedostoista. He suorittavat yleensä tarkistuksen varmistaakseen, että syöte on aito. Mutta joillakin prosesseilla ei ole asianmukaista suojausta käskyjä suoritettaessa. Tässä hyökkäyksessä levyllä ei ole kirjastoa tai suoritettavaa tiedostoa, joka sisältää haitallista koodia. Kaikki tallennetaan muistiin yhdessä hyödynnettävän prosessin kanssa.
Tarkastellaan nyt menetelmää tällaisten tapahtumien keräämisen mahdollistamiseksi Windowsissa ja InTrustin sääntöä, joka toteuttaa suojauksen tällaisia uhkia vastaan. Aktivoidaan ensin se InTrust-hallintakonsolin kautta.
Sääntö käyttää Windows-käyttöjärjestelmän prosessinseurantaominaisuuksia. Valitettavasti tällaisten tapahtumien keräämisen mahdollistaminen on kaikkea muuta kuin itsestään selvää. Sinun on muutettava kolme erilaista ryhmäkäytäntöasetusta:
Tietokoneen asetukset > Käytännöt > Windows-asetukset > Suojausasetukset > Paikalliset käytännöt > Valvontakäytäntö > Tarkastusprosessin seuranta
Tietokoneen asetukset > Käytännöt > Windows-asetukset > Suojausasetukset > Tarkastuskäytännön lisäasetukset > Tarkastuskäytännöt > Yksityiskohtainen seuranta > Tarkastusprosessin luominen
Tietokoneen asetukset > Käytännöt > Hallintamallit > Järjestelmä > Tarkastusprosessin luominen > Sisällytä komentorivi prosessin luontitapahtumiin
Kun InTrust-säännöt ovat käytössä, voit havaita aiemmin tuntemattomat uhat, jotka osoittavat epäilyttävää toimintaa. Voit esimerkiksi tunnistaa Dridex haittaohjelma. HP Bromium -projektin ansiosta tiedämme, kuinka tämä uhka toimii.
Dridex käyttää toimintaketjussaan schtasks.exe-tiedostoa ajoitetun tehtävän luomiseen. Tämän apuohjelman käyttämistä komentoriviltä pidetään erittäin epäilyttävänä käytöksenä; svchost.exe-tiedoston käynnistäminen parametreilla, jotka osoittavat käyttäjän kansioihin tai parametreilla, jotka ovat samankaltaisia kuin "net view"- tai "whoami"-komentoja, näyttää samalta. Tässä fragmentti vastaavasta :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrustissa kaikki epäilyttävät käytökset sisältyvät yhteen sääntöön, koska useimmat näistä toimista eivät liity tiettyyn uhkaan, vaan ovat epäilyttäviä kokonaisuutena ja 99% tapauksista niitä käytetään ei aivan jaloihin tarkoituksiin. Tämä toimintoluettelo sisältää, mutta ei rajoitu niihin:
- Prosessit käynnissä epätavallisista paikoista, kuten käyttäjän väliaikaisista kansioista.
- Tunnettu järjestelmäprosessi, jossa on epäilyttävää perintöä – jotkin uhat voivat yrittää käyttää järjestelmäprosessien nimiä pysyäkseen havaitsemattomina.
- Hallintatyökalujen, kuten cmd tai PsExec, epäilyttävät suoritukset, kun ne käyttävät paikallisia järjestelmän tunnistetietoja tai epäilyttävää perintöä.
- Epäilyttävät varjokopiointitoiminnot ovat lunnasohjelmavirusten yleinen käyttäytyminen ennen järjestelmän salaamista; ne tappavat varmuuskopiot:
— vssadmin.exe:n kautta;
- WMI:n kautta. - Rekisteröi kaatopaikat kokonaisista rekisteripesistä.
- Haitallisen koodin vaakasuora liike, kun prosessi käynnistetään etänä käyttämällä komentoja, kuten at.exe.
- Epäilyttävät paikalliset ryhmätoiminnot ja verkkotunnuksen toiminnot net.exe:n avulla.
- Epäilyttävä palomuuritoiminto netsh.exe:n avulla.
- ACL:n epäilyttävä manipulointi.
- BITS:n käyttö tietojen suodattamiseen.
- Epäilyttäviä WMI-manipulaatioita.
- Epäilyttävät komentosarjakomennot.
- Yrittää tyhjentää suojatut järjestelmätiedostot.
Yhdistetty sääntö toimii erittäin hyvin uhkien, kuten RUYK:n, LockerGogan ja muiden kiristysohjelmien, haittaohjelmien ja verkkorikollisuuden työkalupakkien havaitsemisessa. Toimittaja on testannut säännön tuotantoympäristöissä väärien positiivisten tulosten minimoimiseksi. Ja SIGMA-projektin ansiosta useimmat näistä indikaattoreista tuottavat minimaalisen määrän melutapahtumia.
Koska InTrustissa tämä on valvontasääntö, voit suorittaa vastauskomentosarjan reaktiona uhkaan. Voit käyttää jotakin sisäänrakennetuista komentosarjoista tai luoda oman, ja InTrust jakaa sen automaattisesti.
Lisäksi voit tarkastaa kaiken tapahtumiin liittyvän telemetrian: PowerShell-komentosarjat, prosessin suorittamisen, ajoitetut tehtävien käsittelyt, WMI-hallinnointitoiminnot ja käyttää niitä kuoleman jälkeisiin tutkimuksiin tietoturvahäiriöiden aikana.
InTrustilla on satoja muita sääntöjä, joista osa:
- PowerShell-alennushyökkäyksen havaitseminen tapahtuu, kun joku käyttää tarkoituksella PowerShellin vanhempaa versiota, koska... vanhemmassa versiossa ei ollut mitään mahdollisuutta tarkastaa mitä tapahtui.
- Korkean tason kirjautumisen tunnistus tapahtuu, kun tiettyyn etuoikeutettuun ryhmään kuuluvat tilit (kuten toimialueen järjestelmänvalvojat) kirjautuvat työasemiin vahingossa tai tietoturvahäiriöiden vuoksi.
InTrust antaa sinun käyttää parhaita tietoturvakäytäntöjä ennalta määritettyjen tunnistus- ja vastaussääntöjen muodossa. Ja jos luulet, että jonkin pitäisi toimia toisin, voit tehdä oman kopion säännöstä ja määrittää sen tarpeen mukaan. Voit jättää hakemuksen pilotin suorittamiseen tai jakelusarjojen hankkimiseen tilapäisin lisenssein kautta sivuillamme.
Tilaa meidän , julkaisemme siellä lyhyitä muistiinpanoja ja mielenkiintoisia linkkejä.
Lue muut tietoturvaa koskevat artikkelimme:
(suosittu artikkeli)
Lähde: will.com