A támadások egyik leggyakoribb típusa egy rosszindulatú folyamat megjelenése egy fában, teljesen tiszteletreméltó folyamatok alatt. A végrehajtható fájl elérési útja gyanús lehet: a rosszindulatú programok gyakran az AppData vagy a Temp mappákat használják, és ez nem jellemző a legális programokra. Az igazságosság kedvéért érdemes elmondanunk, hogy néhány automatikus frissítési segédprogram az AppData-ban fut, így az indítási hely ellenőrzése nem elegendő a program rosszindulatúságának megerősítéséhez.
A legitimitás további tényezője a kriptográfiai aláírás: sok eredeti programot a szállító ír alá. Az aláírás hiányát használhatja módszerként a gyanús indítási elemek azonosítására. De van egy rosszindulatú program is, amely lopott tanúsítványt használ aláíratására.
Ellenőrizheti az MD5 vagy SHA256 kriptográfiai kivonatok értékét is, amelyek megfelelhetnek néhány korábban észlelt rosszindulatú programnak. Statikus elemzést végezhet a programban lévő aláírások megtekintésével (Yara szabályok vagy víruskereső termékek használatával). Létezik továbbá dinamikus elemzés (program futtatása valamilyen biztonságos környezetben és tevékenységeinek figyelése) és visszafejtés.
A rosszindulatú folyamatnak számos jele lehet. Ebben a cikkben elmondjuk, hogyan engedélyezheti a releváns események auditálását a Windows rendszerben, elemezzük azokat a jeleket, amelyekre a beépített szabály támaszkodik.
Amikor a program elindul, az betöltődik a számítógép memóriájába. A végrehajtható fájl számítógépes utasításokat és támogató könyvtárakat (például *.dll) tartalmaz. Ha egy folyamat már fut, további szálakat hozhat létre. A szálak lehetővé teszik a folyamat számára, hogy különböző utasításkészleteket hajtson végre egyidejűleg. A rosszindulatú kódok sokféleképpen behatolhatnak a memóriába és futhatnak, nézzünk meg néhányat ezek közül.
A rosszindulatú folyamat elindításának legegyszerűbb módja, ha rákényszerítjük a felhasználót, hogy közvetlenül (például egy e-mail mellékletből) indítsa el, majd a RunOnce billentyűvel indítsa el minden alkalommal, amikor a számítógépet bekapcsolja. Ide tartoznak a „fájl nélküli” rosszindulatú programok is, amelyek PowerShell-szkripteket tárolnak rendszerleíró kulcsokban, amelyek egy trigger alapján futnak le. Ebben az esetben a PowerShell-szkript rosszindulatú kód.
A kifejezetten futó rosszindulatú programokkal az a probléma, hogy ez egy ismert megközelítés, amely könnyen észlelhető. Egyes rosszindulatú programok okosabb dolgokat hajtanak végre, például egy másik folyamat segítségével elindítják a végrehajtást a memóriában. Ezért egy folyamat létrehozhat egy másik folyamatot egy adott számítógépes utasítás futtatásával, és egy futtatható fájl (.exe) megadásával.
A fájl megadható teljes elérési úttal (például C:Windowssystem32cmd.exe) vagy részleges elérési úttal (például cmd.exe). Ha az eredeti folyamat nem biztonságos, lehetővé teszi illegitim programok futtatását. Egy támadás így nézhet ki: egy folyamat elindítja a cmd.exe fájlt a teljes elérési út megadása nélkül, a támadó pedig olyan helyre helyezi a cmd.exe fájlját, hogy a folyamat a legális előtt indítsa el. Amint a rosszindulatú program lefut, elindíthat egy legitim programot (például C:Windowssystem32cmd.exe), így az eredeti program továbbra is megfelelően működik.
Az előző támadás egy változata a DLL-injektálás egy legitim folyamatba. Amikor egy folyamat elindul, megkeresi és betölti a funkcionalitását kiterjesztő könyvtárakat. A DLL injekció használatával a támadó egy rosszindulatú könyvtárat hoz létre, amelynek neve és API-ja megegyezik a legitim könyvtárral. A program betölt egy rosszindulatú könyvtárat, az pedig betölt egy legitim könyvtárat, és szükség szerint meghívja műveletek végrehajtására. A rosszindulatú könyvtár a jó könyvtár proxyjaként kezd működni.
A rosszindulatú kódok memóriába helyezésének másik módja, ha beilleszti azt egy már futó, nem biztonságos folyamatba. A folyamatok különféle forrásokból kapnak bemenetet – a hálózatról vagy a fájlokról olvasnak. Általában ellenőrzik, hogy a bevitel jogos-e. Néhány folyamat azonban nem rendelkezik megfelelő védelemmel az utasítások végrehajtása során. Ebben a támadásban nincs olyan könyvtár a lemezen vagy végrehajtható fájl, amely rosszindulatú kódot tartalmazna. Minden a memóriában van tárolva a kihasznált folyamattal együtt.
Most pedig nézzük meg az ilyen események gyűjtésének engedélyezésének módszerét a Windows rendszerben, valamint azt a szabályt az InTrustban, amely védelmet biztosít az ilyen fenyegetések ellen. Először is aktiváljuk az InTrust felügyeleti konzolon keresztül.
A szabály a Windows operációs rendszer folyamatkövetési képességeit használja. Sajnos az ilyen események összegyűjtésének engedélyezése korántsem magától értetődő. Három különböző csoportházirend-beállítást kell módosítania:
Számítógép konfigurációja > Házirendek > Windows-beállítások > Biztonsági beállítások > Helyi házirendek > Ellenőrzési házirend > Ellenőrzési folyamat nyomon követése
Számítógép-konfiguráció > Házirendek > Windows-beállítások > Biztonsági beállítások > Speciális ellenőrzési házirend-konfiguráció > Ellenőrzési szabályzatok > Részletes követés > Ellenőrzési folyamat létrehozása
Számítógép konfigurációja > Házirendek > Felügyeleti sablonok > Rendszer > Folyamat létrehozásának ellenőrzése > Parancssor felvétele a folyamatlétrehozási eseményekbe
Az engedélyezést követően az InTrust-szabályok lehetővé teszik a korábban ismeretlen fenyegetések észlelését, amelyek gyanús viselkedést mutatnak. Például azonosítani tudja
Műveleti láncában a Dridex a schtasks.exe fájlt használja ütemezett feladat létrehozásához. Ennek a speciális segédprogramnak a parancssorból való használata nagyon gyanús viselkedésnek számít; az svchost.exe elindítása felhasználói mappákra mutató paraméterekkel vagy a „net view” vagy a „whoami” parancsokhoz hasonló paraméterekkel hasonlóan néz ki. Itt van a megfelelő töredéke
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
Az InTrustban minden gyanús viselkedés egy szabályban szerepel, mivel ezeknek a tevékenységeknek a többsége nem egy adott fenyegetésre vonatkozik, hanem egy komplexumban gyanús, és az esetek 99%-ában nem teljesen nemes célokra használják fel. A műveletek listája többek között a következőket tartalmazza:
- Szokatlan helyekről, például felhasználói ideiglenes mappákból futó folyamatok.
- Jól ismert rendszerfolyamat gyanús öröklődéssel – egyes fenyegetések megpróbálhatják a rendszerfolyamatok nevét használni, hogy észrevétlenül maradjanak.
- Felügyeleti eszközök, például cmd vagy PsExec gyanús végrehajtása, amikor helyi rendszer hitelesítő adatait vagy gyanús öröklődést használnak.
- A gyanús árnyékmásolási műveletek a ransomware vírusok gyakori viselkedése a rendszer titkosítása előtt; megölik a biztonsági másolatokat:
— a vssadmin.exe-n keresztül;
- WMI-n keresztül. - Regisztrálja a teljes nyilvántartó kaptárak kirakását.
- A rosszindulatú kód vízszintes mozgása, amikor egy folyamatot távolról indítanak el olyan parancsokkal, mint például az at.exe.
- Gyanús helyi csoportműveletek és tartományműveletek a net.exe használatával.
- Gyanús tűzfaltevékenység a netsh.exe használatával.
- Az ACL gyanús manipulációja.
- BITS használata az adatok kiszűrésére.
- Gyanús manipulációk a WMI-vel.
- Gyanús szkriptparancsok.
- Megkísérli a biztonságos rendszerfájlok kiíratását.
A kombinált szabály nagyon jól működik az olyan fenyegetések észlelésében, mint a RUYK, a LockerGoga és más ransomware, rosszindulatú programok és számítógépes bűnözési eszközkészletek. A szabályt a szállító tesztelte éles környezetben, hogy minimalizálja a hamis pozitívumot. És a SIGMA projektnek köszönhetően a legtöbb ilyen indikátor minimális számú zajeseményt produkál.
Mert Az InTrustban ez egy megfigyelési szabály, amely fenyegetésre adott válaszként végrehajthat egy válaszszkriptet. Használhatja a beépített szkriptek egyikét, vagy létrehozhatja sajátját, és az InTrust automatikusan terjeszti.
Ezenkívül megtekintheti az összes eseményhez kapcsolódó telemetriát: PowerShell-parancsfájlokat, folyamatvégrehajtást, ütemezett feladat-manipulációkat, WMI-adminisztrációs tevékenységet, és felhasználhatja őket a biztonsági incidensek során végzett utólagos vizsgálatokhoz.
Az InTrust több száz egyéb szabályt is tartalmaz, ezek közül néhány:
- PowerShell leminősítési támadást akkor észlelünk, ha valaki szándékosan a PowerShell régebbi verzióját használja, mert... a régebbi verzióban nem lehetett ellenőrizni, hogy mi történik.
- A magas jogosultságokkal rendelkező bejelentkezés észlelése akkor történik, amikor egy bizonyos privilegizált csoporthoz tartozó fiókok (például tartományi rendszergazdák) véletlenül vagy biztonsági incidensek miatt bejelentkeznek a munkaállomásokra.
Az InTrust lehetővé teszi a legjobb biztonsági gyakorlatok alkalmazását előre meghatározott észlelési és válaszadási szabályok formájában. És ha úgy gondolja, hogy valaminek másképp kellene működnie, elkészítheti saját másolatát a szabályról, és szükség szerint konfigurálhatja. Pilóta lebonyolítására vagy ideiglenes licenccel rendelkező elosztókészletek beszerzésére kérelmet nyújthat be
Iratkozzon fel a mi
Olvassa el további információbiztonsági cikkeinket:
Forrás: will.com