Salah satu jenis serangan yang paling umum adalah munculnya proses jahat di pohon dalam proses yang benar-benar terhormat. Jalur ke file yang dapat dieksekusi mungkin mencurigakan: malware sering kali menggunakan folder AppData atau Temp, dan ini tidak umum terjadi pada program yang sah. Agar adil, perlu dikatakan bahwa beberapa utilitas pembaruan otomatis dijalankan di AppData, jadi memeriksa lokasi peluncuran saja tidak cukup untuk mengonfirmasi bahwa program tersebut berbahaya.
Faktor legitimasi tambahan adalah tanda tangan kriptografi: banyak program asli ditandatangani oleh vendor. Anda dapat menggunakan fakta bahwa tidak ada tanda tangan sebagai metode untuk mengidentifikasi item startup yang mencurigakan. Namun ada lagi malware yang menggunakan sertifikat curian untuk menandatangani dirinya sendiri.
Anda juga dapat memeriksa nilai hash kriptografi MD5 atau SHA256, yang mungkin berhubungan dengan beberapa malware yang terdeteksi sebelumnya. Anda dapat melakukan analisis statis dengan melihat tanda tangan di program (menggunakan aturan Yara atau produk antivirus). Ada juga analisis dinamis (menjalankan program di lingkungan yang aman dan memantau tindakannya) dan rekayasa balik.
Ada banyak tanda-tanda proses jahat. Pada artikel ini kami akan memberi tahu Anda cara mengaktifkan audit peristiwa yang relevan di Windows, kami akan menganalisis tanda-tanda yang diandalkan oleh aturan bawaan untuk mengidentifikasi proses yang mencurigakan. InTrust adalah untuk mengumpulkan, menganalisis, dan menyimpan data tidak terstruktur, yang telah memiliki ratusan reaksi standar terhadap berbagai jenis serangan.
Saat program diluncurkan, program tersebut dimuat ke dalam memori komputer. File yang dapat dieksekusi berisi instruksi komputer dan perpustakaan pendukung (misalnya, *.dll). Ketika suatu proses sudah berjalan, proses tersebut dapat membuat thread tambahan. Thread memungkinkan suatu proses untuk mengeksekusi serangkaian instruksi yang berbeda secara bersamaan. Ada banyak cara kode berbahaya menembus memori dan berjalan, mari kita lihat beberapa di antaranya.
Cara termudah untuk meluncurkan proses berbahaya adalah dengan memaksa pengguna untuk meluncurkannya secara langsung (misalnya, dari lampiran email), lalu gunakan tombol RunOnce untuk meluncurkannya setiap kali komputer dihidupkan. Ini juga termasuk malware βtanpa fileβ yang menyimpan skrip PowerShell di kunci registri yang dijalankan berdasarkan pemicu. Dalam hal ini, skrip PowerShell adalah kode berbahaya.
Masalah dengan malware yang dijalankan secara eksplisit adalah bahwa pendekatan tersebut dikenal dan mudah dideteksi. Beberapa malware melakukan hal yang lebih cerdas, seperti menggunakan proses lain untuk mulai mengeksekusi di memori. Oleh karena itu, suatu proses dapat membuat proses lain dengan menjalankan instruksi komputer tertentu dan menentukan file yang dapat dieksekusi (.exe) untuk dijalankan.
File dapat ditentukan menggunakan jalur lengkap (misalnya, C:Windowssystem32cmd.exe) atau jalur parsial (misalnya, cmd.exe). Jika proses aslinya tidak aman, hal ini akan memungkinkan program yang tidak sah untuk berjalan. Serangannya mungkin terlihat seperti ini: suatu proses meluncurkan cmd.exe tanpa menentukan jalur lengkapnya, penyerang menempatkan cmd.exe-nya di suatu tempat sehingga proses tersebut meluncurkannya sebelum proses yang sah. Setelah malware berjalan, ia dapat meluncurkan program yang sah (seperti C:Windowssystem32cmd.exe) sehingga program asli tetap berfungsi dengan baik.
Variasi dari serangan sebelumnya adalah injeksi DLL ke dalam proses yang sah. Ketika suatu proses dimulai, ia menemukan dan memuat perpustakaan yang memperluas fungsinya. Menggunakan injeksi DLL, penyerang membuat perpustakaan berbahaya dengan nama dan API yang sama dengan yang sah. Program ini memuat perpustakaan berbahaya, dan, pada gilirannya, memuat perpustakaan yang sah, dan, jika diperlukan, memanggilnya untuk melakukan operasi. Perpustakaan jahat mulai bertindak sebagai proxy untuk perpustakaan yang baik.
Cara lain untuk memasukkan kode berbahaya ke dalam memori adalah dengan memasukkannya ke dalam proses tidak aman yang sedang berjalan. Proses menerima masukan dari berbagai sumber - membaca dari jaringan atau file. Mereka biasanya melakukan pemeriksaan untuk memastikan bahwa masukan tersebut sah. Namun beberapa proses tidak memiliki perlindungan yang tepat saat menjalankan instruksi. Dalam serangan ini, tidak ada perpustakaan pada disk atau file yang dapat dieksekusi yang berisi kode berbahaya. Semuanya disimpan dalam memori bersama dengan proses yang dieksploitasi.
Sekarang mari kita lihat metodologi untuk mengaktifkan pengumpulan peristiwa tersebut di Windows dan aturan di InTrust yang menerapkan perlindungan terhadap ancaman tersebut. Pertama, mari aktifkan melalui konsol manajemen InTrust.
Aturan tersebut menggunakan kemampuan pelacakan proses OS Windows. Sayangnya, pengumpulan peristiwa-peristiwa semacam itu masih belum jelas. Ada 3 pengaturan Kebijakan Grup berbeda yang perlu Anda ubah:
Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal > Kebijakan Audit > Pelacakan proses audit
Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Konfigurasi Kebijakan Audit Lanjutan > Kebijakan Audit > Pelacakan Terperinci > Pembuatan proses audit
Konfigurasi Komputer > Kebijakan > Templat Administratif > Sistem > Pembuatan Proses Audit > Sertakan baris perintah dalam peristiwa pembuatan proses
Setelah diaktifkan, aturan InTrust memungkinkan Anda mendeteksi ancaman yang sebelumnya tidak diketahui yang menunjukkan perilaku mencurigakan. Misalnya, Anda dapat mengidentifikasi Perangkat lunak perusak Dridex. Berkat proyek HP Bromium, kami mengetahui cara kerja ancaman ini.
Dalam rangkaian tindakannya, Dridex menggunakan schtasks.exe untuk membuat tugas terjadwal. Menggunakan utilitas khusus ini dari baris perintah dianggap perilaku yang sangat mencurigakan; meluncurkan svchost.exe dengan parameter yang mengarah ke folder pengguna atau dengan parameter yang mirip dengan perintah "net view" atau "whoami" terlihat serupa. Berikut adalah bagian dari yang sesuai :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themDi InTrust, semua perilaku mencurigakan termasuk dalam satu aturan, karena sebagian besar tindakan ini tidak spesifik untuk ancaman tertentu, melainkan mencurigakan secara kompleks dan dalam 99% kasus digunakan untuk tujuan yang tidak sepenuhnya mulia. Daftar tindakan ini mencakup, namun tidak terbatas pada:
- Proses berjalan dari lokasi yang tidak biasa, seperti folder sementara pengguna.
- Proses sistem terkenal dengan warisan yang mencurigakan - beberapa ancaman mungkin mencoba menggunakan nama proses sistem agar tetap tidak terdeteksi.
- Eksekusi alat administratif yang mencurigakan seperti cmd atau PsExec ketika menggunakan kredensial sistem lokal atau warisan yang mencurigakan.
- Operasi penyalinan bayangan yang mencurigakan adalah perilaku umum virus ransomware sebelum mengenkripsi sistem; operasi ini mematikan cadangan:
β Melalui vssadmin.exe;
- Melalui WMI. - Daftarkan dump seluruh kumpulan registri.
- Pergerakan horizontal kode berbahaya ketika suatu proses diluncurkan dari jarak jauh menggunakan perintah seperti at.exe.
- Operasi grup lokal dan operasi domain yang mencurigakan menggunakan net.exe.
- Aktivitas firewall yang mencurigakan menggunakan netsh.exe.
- Manipulasi ACL yang mencurigakan.
- Menggunakan BITS untuk eksfiltrasi data.
- Manipulasi mencurigakan dengan WMI.
- Perintah skrip yang mencurigakan.
- Upaya untuk membuang file sistem yang aman.
Aturan gabungan ini berfungsi sangat baik untuk mendeteksi ancaman seperti RUYK, LockerGoga, dan perangkat ransomware, malware, dan kejahatan dunia maya lainnya. Aturan tersebut telah diuji oleh vendor di lingkungan produksi untuk meminimalkan kesalahan positif. Dan berkat proyek SIGMA, sebagian besar indikator ini menghasilkan jumlah kejadian kebisingan yang minimal.
Karena Di InTrust ini adalah aturan pemantauan, Anda dapat menjalankan skrip respons sebagai reaksi terhadap ancaman. Anda dapat menggunakan salah satu skrip bawaan atau membuatnya sendiri dan InTrust akan mendistribusikannya secara otomatis.
Selain itu, Anda dapat memeriksa semua telemetri terkait peristiwa: skrip PowerShell, eksekusi proses, manipulasi tugas terjadwal, aktivitas administratif WMI, dan menggunakannya untuk pemeriksaan mayat selama insiden keamanan.
InTrust memiliki ratusan aturan lainnya, beberapa di antaranya:
- Mendeteksi serangan penurunan versi PowerShell adalah ketika seseorang dengan sengaja menggunakan PowerShell versi lama karena... di versi yang lebih lama tidak ada cara untuk mengaudit apa yang terjadi.
- Deteksi masuk dengan hak istimewa tinggi terjadi ketika akun yang merupakan anggota grup dengan hak istimewa tertentu (seperti administrator domain) masuk ke stasiun kerja secara tidak sengaja atau karena insiden keamanan.
InTrust memungkinkan Anda menggunakan praktik keamanan terbaik dalam bentuk aturan deteksi dan respons yang telah ditentukan sebelumnya. Dan jika menurut Anda sesuatu akan bekerja secara berbeda, Anda dapat membuat salinan aturan Anda sendiri dan mengonfigurasinya sesuai kebutuhan. Anda dapat mengajukan permohonan untuk melakukan uji coba atau mendapatkan kit distribusi dengan lisensi sementara melalui di situs web kami.
Berlangganan kami , kami menerbitkan catatan singkat dan tautan menarik di sana.
Baca artikel kami yang lain tentang keamanan informasi:
(artikel populer)
Sumber: www.habr.com