Youn nan kalite atak ki pi komen yo se anjandre yon pwosesis move nan yon pye bwa anba pwosesis konplètman respektab. Chemen nan dosye ègzèkutabl la ka sispèk: malveyan souvan itilize dosye AppData oswa Temp, e sa pa tipik pou pwogram lejitim yo. Pou nou jis, li vo di ke kèk sèvis piblik aktyalizasyon otomatik yo egzekite nan AppData, kidonk jis tcheke kote lansman an pa ase pou konfime ke pwogram nan move.
Дополнительный фактор легитимности — криптографическая подпись: многие оригинальные программы подписаны вендором. Можно использовать факт отсутствия подписи как метод выявления подозрительных элементов автозагрузки. Но опять же есть вредоносное ПО, которое использует украденный сертификат, чтобы подписать самого себя.
Ещё можно проверять значение криптографических хэшей MD5 или SHA256, которые могут соответствовать некоторым ранее обнаруженным вредоносным программам. Можно выполнять статический анализ, просматривая сигнатуры в программе (с помощью правил Yara или антивирусных продуктов). А ещё есть динамический анализ (запуск программы в какой-либо безопасной среде и отслеживание ее действия) и реверс-инжиниринг.
Признаков злонамеренного процесса может быть масса. В этой статье мы расскажем как включить аудит соответствующих событий в Windows, разберём признаки, на которые опирается встроенное правило для выявление подозрительного процесса. InTrust — это для сбора, анализа и хранения неструктурированных данных, в которой есть уже сотни предустановленных реакций на различные типы атак.
При запуске программы, она загружается в память компьютера. Исполняемый файл содержит компьютерные инструкции и вспомогательные библиотеки (например, *.dll). Когда процесс уже запущен, он может создавать дополнительные потоки. Потоки позволяют процессу выполнять разные наборы инструкций одновременно. Существует много способов проникновения вредоносного кода в память и его запуска, рассмотрим некоторые из них.
Самый простой способ запустить вредоносный процесс — заставить пользователя запустить его напрямую (например, из вложения электронной почты), затем при помощи ключа RunOnce запускать его при каждом включении компьютера. Сюда же можно отнести «безфайловое» вредоносное ПО, которое хранит скрипты PowerShell в ключах реестра, которые выполняются на основе триггера. В этом случае сценарий PowerShell является вредоносным кодом.
Проблема с явным запуском вредоносного программного обеспечения заключается в том, что это известный подход, который легко обнаруживается. Некоторые вредоносные программы предпринимают более хитрые вещи, например, используют другой процесс, чтобы начать исполняться в памяти. Следовательно, процесс может создать другой процесс, запустив определенную компьютерную инструкцию и указав исполняемый файл (.exe) для запуска.
Fichye a ka espesifye lè l sèvi avèk yon chemen konplè (pa egzanp, C:Windowssystem32cmd.exe) oswa yon chemen pasyèl (pa egzanp, cmd.exe). Si pwosesis orijinal la ensekirite, li pral pèmèt pwogram ilejitim yo kouri. Yon atak ka sanble sa a: yon pwosesis lanse cmd.exe san yo pa espesifye chemen an konplè, atakè a mete cmd.exe l 'nan yon kote pou ke pwosesis la lanse li anvan yon sèl la lejitim. Yon fwa malveyan an kouri, li ka nan vire lanse yon pwogram lejitim (tankou C:Windowssystem32cmd.exe) pou ke pwogram orijinal la kontinye travay byen.
Yon varyasyon nan atak anvan an se piki DLL nan yon pwosesis lejitim. Lè yon pwosesis kòmanse, li jwenn ak chaje bibliyotèk ki pwolonje fonksyonalite li yo. Sèvi ak piki DLL, yon atakè kreye yon bibliyotèk move ak menm non ak API kòm yon bibliyotèk lejitim. Pwogram nan chaje yon bibliyotèk move, epi li, nan vire, chaje yon sèl lejitim, epi, jan sa nesesè, rele li fè operasyon. Bibliyotèk move a kòmanse aji kòm yon prokurasyon pou bon bibliyotèk la.
Yon lòt fason pou mete kòd move nan memwa se insert li nan yon pwosesis danjere ki deja ap kouri. Pwosesis yo resevwa opinyon ki soti nan divès sous - lekti nan rezo a oswa dosye. Yo tipikman fè yon chèk asire ke opinyon an se lejitim. Men, kèk pwosesis pa gen pwoteksyon apwopriye lè yo egzekite enstriksyon yo. Nan atak sa a, pa gen okenn bibliyotèk sou disk oswa dosye ègzèkutabl ki gen kòd move. Tout se estoke nan memwa ansanm ak pwosesis la ke yo te eksplwate.
Теперь разберемся методикой включения сбора подобных событий в Windows и с правилом в InTrust, которое реализует защиту от подобных угроз. Для начала, активируем его через консоль управления InTrust.
Правило использует возможности отслеживания процессов ОС Windows. К сожалению, включение сбора таких событий далеко не очевиден. Нужно изменить 3 разных настройки групповой политики:
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit process tracking
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Detailed Tracking > Audit process creation
Computer Configuration > Policies > Administrative Templates > System > Audit Process Creation > Include command line in process creation events
После включения, правила InTrust позволяют обнаруживать неизвестные ранее угрозы, которые демонстрируют подозрительное поведение. Например, можно выявить вредоносное ПО Dridex. Благодаря проекту HP Bromium, известно, как устроена такая угроза.
В цепочке своих действий Dridex использует schtasks.exe, чтобы создать запланированное задание. Использование именно этой утилиты из командной строки считается весьма подозрительным поведением, аналогично выглядит запуск svchost.exe с параметрами, которые указывают на пользовательские папки или с параметрами, похожими на команды «net view» или «whoami». Вот фрагмент соответствующего :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themВ InTrust всё подозрительное поведение включено в одно правило, потому что большинство этих действий не являются специфическими для конкретной угрозы, а скорее являются подозрительными в комплексе и в 99% случаев используются для не совсем благородных целей. Такой список действий включает, но не ограничивается:
- Процессы, выполняющиеся из необычных мест, таких как пользовательские временные папки.
- Хорошо известный системный процесс с подозрительным наследованием — некоторые угрозы могут попытаться использовать имя системных процессов, чтобы остаться незамеченными.
- Подозрительные исполнения административных инструментов, таких как cmd или PsExec, когда они используют учетные данные локальной системы или подозрительное наследование.
- Подозрительные операции теневого копирования — обычное поведение вирусов-вымогателей перед шифрованием системы, они убивают резервные копии:
- Via vssadmin.exe;
- Via WMI. - Регистровые дампы целых кустов реестра.
- Горизонтальное перемещение вредоносного кода при удаленном запуске процесса с использованием таких команд, как at.exe.
- Подозрительные локальные групповые операции и доменные операции с использованием net.exe.
- Подозрительные операции брандмауэра с использованием netsh.exe.
- Подозрительные манипуляции с ACL.
- Sèvi ak BITS pou èksfiltrasyon done.
- Manipilasyon sispèk ak WMI.
- Kòmandman script sispèk.
- Eseye jete dosye sistèm sekirite yo.
Объединенное правило очень хорошо работает для обнаружения угроз, таких как RUYK, LockerGoga и других вирусов-вымогателей, вредоносных программ и наборов инструментов для киберпреступлений. Правило проверено вендором в боевых средах, чтобы минимизировать ложные срабатывания. А благодаря проекту SIGMA, большинство этих индикаторов производят минимальное количество шумовых событий.
Т.к. в InTrust это правило мониторинга, вы можете выполнить ответный сценарий в качестве реакции на угрозу. Можно использовать один из встроенных сценариев или создать свой собственный, а InTrust автоматически распространит его.
Кроме того, можно проверить всю связанную с событием телеметрию: скрипты PowerShell, выполнение процессов, манипуляции с запланированными задачами, административную активность WMI и использовать их для постмортемов при инцидентах безопасности.
В InTrust есть сотни других правил, некоторые из них:
- Выявление атаки понижения версии PowerShell — когда кто-то специально использует старую версию PowerShell, т.к. в более старой версии не было возможности аудита происходящего.
- Выявление входа в систему с высоким уровнем привилегий — когда учетные записи, которые являются членами определенной привилегированной группы (например, администраторы домена), случайно или из-за инцидентов безопасности интерактивно входят в систему на рабочих станциях.
InTrust позволяет использовать лучшие практики безопасности в виде предустановленных правил обнаружения и реакции. А если вы считаете, что нечто должно работать иначе — можно сделать свою копию правила и настроить как нужно. Отправить заявку на проведение пилота или получение дистрибутивов с временными лицензиями можно через sou sit entènèt nou an.
Abònman ak nou , публикуем там краткие заметки и интересные ссылки.
Li lòt atik nou yo sou sekirite enfòmasyon:
(atik popilè)
Sous: www.habr.com