Jedan od najčešćih tipova napada je stvaranje zlonamjernog procesa u stablu ispod potpuno respektabilnih procesa. Put do izvršne datoteke može biti sumnjiv: zlonamjerni softver često koristi mape AppData ili Temp, a to nije tipično za legitimne programe. Da budemo pošteni, vrijedi reći da se neki uslužni programi za automatsko ažuriranje izvršavaju u AppData, tako da samo provjeravanje lokacije pokretanja nije dovoljno da potvrdi da je program zlonamjeran.
Dodatni faktor legitimnosti je kriptografski potpis: mnoge izvorne programe potpisuje dobavljač. Činjenicu da ne postoji potpis možete koristiti kao metodu za prepoznavanje sumnjivih stavki pri pokretanju. Ali opet postoji zlonamjerni softver koji koristi ukradeni certifikat da se potpiše.
Također možete provjeriti vrijednost MD5 ili SHA256 kriptografskih hashova, koji mogu odgovarati nekom prethodno otkrivenom zlonamjernom softveru. Možete izvršiti statičku analizu gledajući potpise u programu (koristeći Yara pravila ili antivirusne proizvode). Tu je i dinamička analiza (pokretanje programa u nekom sigurnom okruženju i praćenje njegovih radnji) i obrnuti inženjering.
Može postojati mnogo znakova zlonamjernog procesa. U ovom članku ćemo vam reći kako omogućiti reviziju relevantnih događaja u sustavu Windows, analizirat ćemo znakove na koje se oslanja ugrađeno pravilo za prepoznavanje sumnjivog procesa. InTrust je za prikupljanje, analizu i pohranjivanje nestrukturiranih podataka, koji već ima stotine unaprijed definiranih reakcija na razne vrste napada.
Kada se program pokrene, učitava se u memoriju računala. Izvršna datoteka sadrži računalne upute i prateće biblioteke (na primjer, *.dll). Kada je proces već pokrenut, može stvoriti dodatne niti. Niti omogućuju procesu da izvršava različite skupove instrukcija istovremeno. Postoji mnogo načina na koje zlonamjerni kod može prodrijeti u memoriju i pokrenuti se, pogledajmo neke od njih.
Najlakši način za pokretanje zlonamjernog procesa je da prisilite korisnika da ga pokrene izravno (na primjer, iz privitka e-pošte), zatim koristite tipku RunOnce da ga pokrenete svaki put kada se računalo uključi. Ovo također uključuje zlonamjerni softver "bez datoteka" koji pohranjuje PowerShell skripte u ključeve registra koji se izvršavaju na temelju okidača. U ovom slučaju, PowerShell skripta je zlonamjerni kod.
Problem s eksplicitnim pokretanjem zlonamjernog softvera je taj što je to poznati pristup koji se lako otkriva. Neki zlonamjerni softver radi pametnije stvari, poput upotrebe drugog procesa za početak izvršavanja u memoriji. Stoga, proces može stvoriti drugi proces pokretanjem određene računalne instrukcije i određivanjem izvršne datoteke (.exe) za pokretanje.
Datoteka se može navesti pomoću punog puta (na primjer, C:Windowssystem32cmd.exe) ili djelomičnog puta (na primjer, cmd.exe). Ako je izvorni proces nesiguran, omogućit će pokretanje nelegitimnih programa. Napad može izgledati ovako: proces pokreće cmd.exe bez navođenja pune putanje, napadač postavlja svoj cmd.exe na mjesto tako da ga proces pokreće prije legitimnog. Nakon što se zlonamjerni softver pokrene, može pokrenuti legitiman program (kao što je C:Windowssystem32cmd.exe) tako da izvorni program nastavi ispravno raditi.
Varijacija prethodnog napada je ubacivanje DLL-a u legitiman proces. Kada se proces pokrene, on pronalazi i učitava biblioteke koje proširuju njegovu funkcionalnost. Koristeći DLL injekciju, napadač stvara zlonamjernu biblioteku s istim imenom i API-jem kao legitimna. Program učitava zlonamjernu biblioteku, a on zauzvrat učitava legitimnu i, prema potrebi, poziva je da izvrši operacije. Zlonamjerna biblioteka počinje djelovati kao proxy za dobru knjižnicu.
Drugi način stavljanja zlonamjernog koda u memoriju je umetanje u nesiguran proces koji je već pokrenut. Procesi primaju podatke iz različitih izvora - čitanje s mreže ili datoteka. Oni obično provode provjeru kako bi osigurali da je unos legitiman. Ali neki procesi nemaju odgovarajuću zaštitu prilikom izvršavanja instrukcija. U ovom napadu ne postoji biblioteka na disku ili izvršna datoteka koja sadrži zlonamjerni kod. Sve je pohranjeno u memoriji zajedno s procesom koji se iskorištava.
Sada pogledajmo metodologiju za omogućavanje prikupljanja takvih događaja u sustavu Windows i pravilo u InTrustu koje implementira zaštitu od takvih prijetnji. Najprije ga aktivirajmo putem upravljačke konzole InTrust.
Pravilo koristi mogućnosti praćenja procesa Windows OS-a. Nažalost, omogućavanje prikupljanja takvih događaja daleko je od očitog. Postoje 3 različite postavke pravila grupe koje trebate promijeniti:
Konfiguracija računala > Pravila > Postavke sustava Windows > Sigurnosne postavke > Lokalna pravila > Pravila revizije > Praćenje procesa revizije
Konfiguracija računala > Pravila > Windows postavke > Sigurnosne postavke > Napredna konfiguracija pravila revizije > Pravila revizije > Detaljno praćenje > Stvaranje procesa revizije
Računalna konfiguracija > Pravila > Administrativni predlošci > Sustav > Stvaranje procesa revizije > Uključi naredbeni redak u događaje stvaranja procesa
Nakon što su omogućena, InTrust pravila vam omogućuju otkrivanje prethodno nepoznatih prijetnji koje pokazuju sumnjivo ponašanje. Na primjer, možete identificirati Dridex malware. Zahvaljujući projektu HP Bromium, znamo kako ova prijetnja funkcionira.
U svom lancu radnji Dridex koristi schtasks.exe za stvaranje planiranog zadatka. Korištenje ovog uslužnog programa iz naredbenog retka smatra se vrlo sumnjivim ponašanjem; pokretanje svchost.exe s parametrima koji upućuju na korisničke mape ili s parametrima sličnim naredbama "net view" ili "whoami" izgleda slično. Evo fragmenta odgovarajućeg :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themU InTrustu su sva sumnjiva ponašanja obuhvaćena jednim pravilom, jer većina tih radnji nije specifična za određenu prijetnju, već su sumnjive u kompleksu i u 99% slučajeva koriste se u ne posve plemenite svrhe. Ovaj popis radnji uključuje, ali nije ograničen na:
- Procesi koji se pokreću s neobičnih lokacija, kao što su korisničke privremene mape.
- Dobro poznati sistemski proces sa sumnjivim nasljeđivanjem - neke prijetnje mogu pokušati koristiti nazive sistemskih procesa kako bi ostale neotkrivene.
- Sumnjivo izvršavanje administrativnih alata kao što su cmd ili PsExec kada koriste vjerodajnice lokalnog sustava ili sumnjivo nasljeđivanje.
- Sumnjive operacije kopiranja u sjeni uobičajeno su ponašanje ransomware virusa prije šifriranja sustava; one uništavaju sigurnosne kopije:
— Putem vssadmin.exe;
- Preko WMI-ja. - Izvaci registara cijelih matičnih košnica.
- Horizontalno kretanje zlonamjernog koda kada se proces pokrene na daljinu pomoću naredbi kao što je at.exe.
- Sumnjive operacije lokalne grupe i operacije domene pomoću net.exe.
- Sumnjiva aktivnost vatrozida pomoću netsh.exe.
- Sumnjiva manipulacija ACL-om.
- Korištenje BITS-a za eksfiltraciju podataka.
- Sumnjive manipulacije s WMI-jem.
- Sumnjive naredbe skripte.
- Pokušava izbaciti sigurne sistemske datoteke.
Kombinirano pravilo vrlo dobro funkcionira za otkrivanje prijetnji kao što su RUYK, LockerGoga i drugi skupovi alata za ucjenjivanje, zlonamjerni softver i kibernetički kriminal. Dobavljač je testirao pravilo u produkcijskim okruženjima kako bi se smanjili lažni pozitivni rezultati. A zahvaljujući projektu SIGMA, većina ovih indikatora proizvodi minimalan broj događaja buke.
Jer U InTrustu ovo je pravilo nadzora, možete izvršiti skriptu odgovora kao reakciju na prijetnju. Možete koristiti jednu od ugrađenih skripti ili izraditi vlastitu i InTrust će je automatski distribuirati.
Osim toga, možete pregledati svu telemetriju povezanu s događajima: PowerShell skripte, izvršenje procesa, planirane manipulacije zadacima, WMI administrativne aktivnosti i koristiti ih za post-mortem tijekom sigurnosnih incidenata.
InTrust ima stotine drugih pravila, neka od njih:
- Otkrivanje napada PowerShell na stariju verziju je kada netko namjerno koristi stariju verziju PowerShella jer... u starijoj verziji nije bilo načina za reviziju onoga što se događa.
- Detekcija prijave s visokim privilegijama je kada se računi koji su članovi određene povlaštene skupine (kao što su administratori domene) prijavljuju na radne stanice slučajno ili zbog sigurnosnih incidenata.
InTrust vam omogućuje korištenje najboljih sigurnosnih praksi u obliku unaprijed definiranih pravila otkrivanja i odgovora. A ako mislite da bi nešto trebalo raditi drugačije, možete napraviti vlastitu kopiju pravila i konfigurirati je prema potrebi. Zahtjev za provođenje pilota ili dobivanje distribucijskih kompleta s privremenim licencama možete podnijeti putem na našoj web stranici.
Pretplatite se na naše , tamo objavljujemo kratke bilješke i zanimljive poveznice.
Pročitajte naše ostale članke o informacijskoj sigurnosti:
(popularan članak)
Izvor: www.habr.com