L'un des types d'attaques les plus courants est l'apparition d'un processus malveillant dans une arborescence sous des processus tout à fait respectables. Le chemin d'accès au fichier exécutable peut être suspect : les logiciels malveillants utilisent souvent les dossiers AppData ou Temp, ce qui n'est pas typique des programmes légitimes. Pour être honnête, il convient de dire que certains utilitaires de mise à jour automatique sont exécutés dans AppData, donc une simple vérification de l'emplacement de lancement ne suffit pas pour confirmer que le programme est malveillant.
Un facteur supplémentaire de légitimité est la signature cryptographique : de nombreux programmes originaux sont signés par le fournisseur. Vous pouvez utiliser le fait qu'il n'y a pas de signature comme méthode pour identifier les éléments de démarrage suspects. Mais là encore, il existe des logiciels malveillants qui utilisent un certificat volé pour se signer.
Vous pouvez également vérifier la valeur des hachages cryptographiques MD5 ou SHA256, qui peuvent correspondre à certains logiciels malveillants précédemment détectés. Vous pouvez effectuer une analyse statique en examinant les signatures dans le programme (en utilisant les règles Yara ou des produits antivirus). Il existe également une analyse dynamique (exécuter un programme dans un environnement sûr et surveiller ses actions) et une ingénierie inverse.
Il peut y avoir de nombreux signes d’un processus malveillant. Dans cet article, nous vous expliquerons comment activer l'audit des événements pertinents dans Windows, nous analyserons les signes sur lesquels s'appuie la règle intégrée pour identifier un processus suspect. InTrust est pour collecter, analyser et stocker des données non structurées, qui dispose déjà de centaines de réactions prédéfinies à divers types d'attaques.
Lorsque le programme est lancé, il est chargé dans la mémoire de l'ordinateur. Le fichier exécutable contient des instructions informatiques et des bibliothèques de support (par exemple, *.dll). Lorsqu'un processus est déjà en cours d'exécution, il peut créer des threads supplémentaires. Les threads permettent à un processus d’exécuter simultanément différents ensembles d’instructions. Il existe de nombreuses façons pour un code malveillant de pénétrer dans la mémoire et de s'exécuter, examinons quelques-unes d'entre elles.
Le moyen le plus simple de lancer un processus malveillant est de forcer l'utilisateur à le lancer directement (par exemple, à partir d'une pièce jointe d'un email), puis d'utiliser la touche RunOnce pour le lancer à chaque fois que l'ordinateur est allumé. Cela inclut également les logiciels malveillants « sans fichier » qui stockent les scripts PowerShell dans des clés de registre exécutées en fonction d'un déclencheur. Dans ce cas, le script PowerShell est un code malveillant.
Le problème avec l’exécution explicite de logiciels malveillants est qu’il s’agit d’une approche connue et facilement détectée. Certains logiciels malveillants font des choses plus intelligentes, comme utiliser un autre processus pour démarrer leur exécution en mémoire. Par conséquent, un processus peut créer un autre processus en exécutant une instruction informatique spécifique et en spécifiant un fichier exécutable (.exe) à exécuter.
Le fichier peut être spécifié à l'aide d'un chemin complet (par exemple, C:Windowssystem32cmd.exe) ou d'un chemin partiel (par exemple, cmd.exe). Si le processus d’origine n’est pas sécurisé, il permettra à des programmes illégitimes de s’exécuter. Une attaque peut ressembler à ceci : un processus lance cmd.exe sans préciser le chemin complet, l'attaquant place son cmd.exe à un endroit pour que le processus le lance avant le légitime. Une fois le malware exécuté, il peut à son tour lancer un programme légitime (tel que C:Windowssystem32cmd.exe) afin que le programme d'origine continue de fonctionner correctement.
Une variante de l’attaque précédente consiste à injecter des DLL dans un processus légitime. Lorsqu'un processus démarre, il recherche et charge les bibliothèques qui étendent ses fonctionnalités. À l’aide de l’injection de DLL, un attaquant crée une bibliothèque malveillante portant le même nom et la même API qu’une bibliothèque légitime. Le programme charge une bibliothèque malveillante et, à son tour, en charge une légitime et, si nécessaire, l'appelle pour effectuer des opérations. La bibliothèque malveillante commence à agir comme un proxy pour la bonne bibliothèque.
Une autre façon de mettre du code malveillant en mémoire consiste à l’insérer dans un processus dangereux déjà en cours d’exécution. Les processus reçoivent des entrées de diverses sources - lecture à partir du réseau ou de fichiers. Ils effectuent généralement une vérification pour s’assurer que l’entrée est légitime. Mais certains processus ne disposent pas d’une protection adéquate lors de l’exécution des instructions. Dans cette attaque, il n'y a pas de bibliothèque sur le disque ni de fichier exécutable contenant du code malveillant. Tout est stocké en mémoire avec le processus exploité.
Examinons maintenant la méthodologie permettant de collecter de tels événements dans Windows et la règle d'InTrust qui implémente la protection contre de telles menaces. Tout d'abord, activons-le via la console de gestion InTrust.
La règle utilise les capacités de suivi des processus du système d'exploitation Windows. Malheureusement, permettre la collecte de tels événements est loin d’être évident. Vous devez modifier 3 paramètres de stratégie de groupe différents :
Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit > Suivi du processus d'audit
Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée des stratégies d'audit > Stratégies d'audit > Suivi détaillé > Création de processus d'audit
Configuration ordinateur > Stratégies > Modèles d'administration > Système > Création de processus d'audit > Inclure la ligne de commande dans les événements de création de processus
Une fois activées, les règles InTrust vous permettent de détecter les menaces jusque-là inconnues qui présentent un comportement suspect. Par exemple, vous pouvez identifier Logiciel malveillant Dridex. Grâce au projet HP Bromium, nous savons comment fonctionne cette menace.
Dans sa chaîne d'actions, Dridex utilise schtasks.exe pour créer une tâche planifiée. L'utilisation de cet utilitaire particulier à partir de la ligne de commande est considérée comme un comportement très suspect ; le lancement de svchost.exe avec des paramètres pointant vers des dossiers utilisateur ou avec des paramètres similaires aux commandes « net view » ou « whoami » semble similaire. Voici un fragment du correspondant :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themDans InTrust, tous les comportements suspects sont inclus dans une seule règle, car la plupart de ces actions ne sont pas spécifiques à une menace particulière, mais sont plutôt suspectes dans un complexe et sont utilisées dans 99 % des cas à des fins pas tout à fait nobles. Cette liste d'actions comprend, sans toutefois s'y limiter :
- Processus exécutés à partir d’emplacements inhabituels, tels que des dossiers temporaires d’utilisateurs.
- Processus système bien connu avec héritage suspect : certaines menaces peuvent tenter d'utiliser le nom de processus système pour ne pas être détectées.
- Exécutions suspectes d'outils d'administration tels que cmd ou PsExec lorsqu'ils utilisent des informations d'identification du système local ou un héritage suspect.
- Les opérations de cliché instantané suspectes sont un comportement courant des virus ransomware avant de chiffrer un système ; elles tuent les sauvegardes :
— Via vssadmin.exe ;
- Via WMI. - Enregistrez les dumps de ruches de registre entières.
- Mouvement horizontal du code malveillant lorsqu'un processus est lancé à distance à l'aide de commandes telles que at.exe.
- Opérations de groupe local suspectes et opérations de domaine utilisant net.exe.
- Activité suspecte du pare-feu utilisant netsh.exe.
- Manipulation suspecte de l'ACL.
- Utilisation de BITS pour l'exfiltration de données.
- Manipulations suspectes avec WMI.
- Commandes de script suspectes.
- Tente de vider les fichiers système sécurisés.
La règle combinée fonctionne très bien pour détecter les menaces telles que RUYK, LockerGoga et d’autres boîtes à outils de ransomwares, de logiciels malveillants et de cybercriminalité. La règle a été testée par le fournisseur dans des environnements de production afin de minimiser les faux positifs. Et grâce au projet SIGMA, la plupart de ces indicateurs produisent un nombre minimal d'événements sonores.
Parce que Dans InTrust, il s'agit d'une règle de surveillance, vous pouvez exécuter un script de réponse en réaction à une menace. Vous pouvez utiliser l'un des scripts intégrés ou créer le vôtre et InTrust le distribuera automatiquement.
De plus, vous pouvez inspecter toutes les télémétries liées aux événements : scripts PowerShell, exécution de processus, manipulations de tâches planifiées, activité administrative WMI, et les utiliser pour des post-mortems lors d'incidents de sécurité.
InTrust a des centaines d'autres règles, dont certaines :
- La détection d'une attaque de rétrogradation de PowerShell se produit lorsque quelqu'un utilise délibérément une ancienne version de PowerShell parce que... dans l'ancienne version, il n'y avait aucun moyen de vérifier ce qui se passait.
- La détection des connexions à privilèges élevés se produit lorsque des comptes membres d'un certain groupe privilégié (tels que les administrateurs de domaine) se connectent aux postes de travail par accident ou en raison d'incidents de sécurité.
InTrust vous permet d'utiliser les meilleures pratiques de sécurité sous la forme de règles de détection et de réponse prédéfinies. Et si vous pensez que quelque chose devrait fonctionner différemment, vous pouvez créer votre propre copie de la règle et la configurer selon vos besoins. Vous pouvez soumettre une demande pour mener un projet pilote ou obtenir des kits de distribution avec des licences temporaires via sur notre site.
Abonnez-vous à notre , nous y publions de courtes notes et des liens intéressants.
Lisez nos autres articles sur la sécurité des informations :
(article populaire)
Source: habr.com