Un dos tipos máis comúns de ataques é a aparición dun proceso malicioso nunha árbore baixo procesos totalmente respectables. O camiño ao ficheiro executable pode ser sospeitoso: o malware adoita usar os cartafoles AppData ou Temp, e isto non é habitual para programas lexítimos. Para ser xustos, paga a pena dicir que algunhas utilidades de actualización automática execútanse en AppData, polo que só comprobar a localización do lanzamento non é suficiente para confirmar que o programa é malicioso.
Un factor adicional de lexitimidade é unha sinatura criptográfica: moitos programas orixinais están asinados polo vendedor. Podes usar o feito de que non hai sinatura como método para identificar elementos de inicio sospeitosos. Pero de novo hai malware que usa un certificado roubado para asinarse.
Tamén pode comprobar o valor dos hash criptográficos MD5 ou SHA256, que poden corresponder a algún malware detectado previamente. Podes realizar análises estáticas mirando sinaturas no programa (usando regras de Yara ou produtos antivirus). Tamén hai análise dinámica (executar un programa nalgún ambiente seguro e vixiar as súas accións) e enxeñería inversa.
Pode haber moitos sinais de proceso malicioso. Neste artigo dirémosche como habilitar a auditoría de eventos relevantes en Windows, analizaremos os signos nos que se basea a regra integrada para identificar un proceso sospeitoso. InTrust é para recoller, analizar e almacenar datos non estruturados, que xa ten centos de reaccións predefinidas a varios tipos de ataques.
Cando se inicia o programa, cárgase na memoria do ordenador. O ficheiro executable contén instrucións do ordenador e bibliotecas de apoio (por exemplo, *.dll). Cando un proceso xa está en execución, pode crear fíos adicionais. Os fíos permiten que un proceso execute diferentes conxuntos de instrucións simultaneamente. Hai moitas formas de que o código malicioso penetre na memoria e se execute, vexamos algunhas delas.
A forma máis sinxela de iniciar un proceso malicioso é obrigar ao usuario a que o lance directamente (por exemplo, desde un anexo de correo electrónico) e, a continuación, use a tecla RunOnce para inicialo cada vez que se acende o ordenador. Isto tamén inclúe software malicioso "sen ficheiros" que almacena scripts de PowerShell en claves de rexistro que se executan en función dun disparador. Neste caso, o script de PowerShell é un código malicioso.
O problema coa execución explícita de malware é que se trata dun enfoque coñecido que se detecta facilmente. Algúns programas maliciosos fan cousas máis intelixentes, como usar outro proceso para comezar a executarse na memoria. Polo tanto, un proceso pode crear outro proceso executando unha instrución específica do ordenador e especificando un ficheiro executable (.exe) para executalo.
O ficheiro pódese especificar mediante unha ruta completa (por exemplo, C:Windowssystem32cmd.exe) ou unha ruta parcial (por exemplo, cmd.exe). Se o proceso orixinal non é seguro, permitirá que se executen programas ilexítimos. Un ataque pode verse así: un proceso lanza cmd.exe sen especificar a ruta completa, o atacante coloca o seu cmd.exe nun lugar para que o proceso o lance antes que o lexítimo. Unha vez que se executa o malware, á súa vez pode iniciar un programa lexítimo (como C:Windowssystem32cmd.exe) para que o programa orixinal continúe funcionando correctamente.
Unha variación do ataque anterior é a inxección de DLL nun proceso lexítimo. Cando se inicia un proceso, atopa e carga bibliotecas que amplían a súa funcionalidade. Usando a inxección de DLL, un atacante crea unha biblioteca maliciosa co mesmo nome e API que unha lexítima. O programa carga unha biblioteca maliciosa e, á súa vez, carga unha lexítima e, se é necesario, chámaa para realizar operacións. A biblioteca maliciosa comeza a actuar como un proxy para a boa biblioteca.
Outra forma de poñer código malicioso na memoria é inserilo nun proceso inseguro que xa se está a executar. Os procesos reciben entradas de varias fontes: lectura da rede ou ficheiros. Normalmente realizan unha comprobación para asegurarse de que a entrada é lexítima. Pero algúns procesos non teñen a protección adecuada ao executar instrucións. Neste ataque, non hai ningunha biblioteca no disco nin ficheiro executable que conteña código malicioso. Todo gárdase na memoria xunto co proceso que se está a explotar.
Agora vexamos a metodoloxía para habilitar a recollida de tales eventos en Windows e a regra en InTrust que implementa a protección contra tales ameazas. Primeiro, activámolo a través da consola de xestión de InTrust.
A regra usa as capacidades de seguimento de procesos do sistema operativo Windows. Desafortunadamente, habilitar a colección deste tipo de eventos está lonxe de ser obvio. Hai 3 configuracións de políticas de grupo diferentes que debes cambiar:
Configuración do ordenador > Políticas > Configuración de Windows > Configuración de seguranza > Políticas locais > Política de auditoría > Seguimento do proceso de auditoría
Configuración do ordenador > Políticas > Configuración de Windows > Configuración de seguranza > Configuración avanzada de políticas de auditoría > Políticas de auditoría > Seguimento detallado > Creación de procesos de auditoría
Configuración do equipo > Políticas > Modelos administrativos > Sistema > Creación de procesos de auditoría > Incluír liña de comandos nos eventos de creación de procesos
Unha vez activadas, as regras de InTrust permítenche detectar ameazas previamente descoñecidas que presentan un comportamento sospeitoso. Por exemplo, podes identificar Malware Dridex. Grazas ao proxecto HP Bromium, sabemos como funciona esta ameaza.
Na súa cadea de accións, Dridex usa schtasks.exe para crear unha tarefa programada. Usar esta utilidade en particular desde a liña de comandos considérase un comportamento moi sospeitoso; o lanzamento de svchost.exe con parámetros que apuntan a cartafoles de usuarios ou con parámetros similares aos comandos "net view" ou "whoami" parecen similares. Velaquí un fragmento do correspondente :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themEn InTrust, todos os comportamentos sospeitosos inclúense nunha regra, porque a maioría destas accións non son específicas para unha ameaza en particular, senón que son sospeitosas nun complexo e no 99% dos casos úsanse con fins non totalmente nobres. Esta lista de accións inclúe, pero non se limita a:
- Procesos que se executan desde localizacións pouco habituais, como cartafoles temporais dos usuarios.
- Proceso do sistema coñecido con herdanza sospeitosa: algunhas ameazas poden intentar usar o nome dos procesos do sistema para permanecer sen detectar.
- Execucións sospeitosas de ferramentas administrativas como cmd ou PsExec cando usan credenciais do sistema local ou herdanza sospeitosa.
- As operacións de instantáneas sospeitosas son un comportamento común dos virus de ransomware antes de cifrar un sistema; eliminan as copias de seguridade:
— Vía vssadmin.exe;
- Vía WMI. - Rexistra verteduras de colmeas de rexistro enteiras.
- Movemento horizontal de código malicioso cando un proceso se inicia de forma remota mediante comandos como at.exe.
- Operacións de grupos locais sospeitosas e operacións de dominio usando net.exe.
- Actividade sospeitosa do firewall usando netsh.exe.
- Manipulación sospeitosa do ACL.
- Usando BITS para a exfiltración de datos.
- Manipulacións sospeitosas con WMI.
- Comandos de script sospeitosos.
- Intentos de volcar ficheiros do sistema seguro.
A regra combinada funciona moi ben para detectar ameazas como RUYK, LockerGoga e outras ferramentas de ransomware, malware e ciberdelincuencia. A regra foi probada polo provedor en ambientes de produción para minimizar os falsos positivos. E grazas ao proxecto SIGMA, a maioría destes indicadores producen un número mínimo de eventos de ruído.
Porque En InTrust esta é unha regra de seguimento, pode executar un script de resposta como reacción a unha ameaza. Podes usar un dos scripts integrados ou crear o teu propio e InTrust distribuirao automaticamente.
Ademais, pode inspeccionar toda a telemetría relacionada con eventos: scripts de PowerShell, execución de procesos, manipulacións de tarefas programadas, actividade administrativa de WMI e usalas para autopsias durante incidentes de seguridade.
InTrust ten centos de outras regras, algunhas delas:
- Detectar un ataque de downgrade de PowerShell ocorre cando alguén usa deliberadamente unha versión antiga de PowerShell porque... na versión antiga non había forma de auditar o que estaba a suceder.
- A detección de inicio de sesión de alto privilexio ocorre cando as contas que son membros dun determinado grupo privilexiado (como os administradores de dominios) inician sesión nas estacións de traballo por accidente ou debido a incidentes de seguridade.
InTrust permítelle utilizar as mellores prácticas de seguridade en forma de regras de detección e resposta predefinidas. E se pensas que algo debería funcionar de forma diferente, podes facer a túa propia copia da regra e configurala segundo sexa necesario. Podes presentar unha solicitude para realizar un piloto ou obter kits de distribución con licenzas temporais a través na nosa páxina web.
Subscríbete ao noso , publicamos alí breves notas e enlaces interesantes.
Lea os nosos outros artigos sobre seguridade da información:
(artigo popular)
Fonte: www.habr.com