Uno dei tipi più comuni di attacchi è la generazione di un processo dannoso in un albero sotto processi completamente rispettabili. Il percorso del file eseguibile potrebbe essere sospetto: il malware utilizza spesso le cartelle AppData o Temp e questo non è tipico dei programmi legittimi. Per essere onesti, vale la pena dire che alcune utilità di aggiornamento automatico vengono eseguite in AppData, quindi controllare semplicemente la posizione di avvio non è sufficiente per confermare che il programma sia dannoso.
Un ulteriore fattore di legittimità è la firma crittografica: molti programmi originali sono firmati dal fornitore. Puoi sfruttare il fatto che non esiste una firma come metodo per identificare elementi di avvio sospetti. Ma c'è ancora un malware che utilizza un certificato rubato per firmarsi.
Puoi anche controllare il valore degli hash crittografici MD5 o SHA256, che potrebbero corrispondere ad alcuni malware rilevati in precedenza. È possibile eseguire analisi statiche esaminando le firme nel programma (utilizzando le regole Yara o i prodotti antivirus). Esiste anche l'analisi dinamica (esecuzione di un programma in un ambiente sicuro e monitoraggio delle sue azioni) e il reverse engineering.
Possono esserci molti segni di un processo dannoso. In questo articolo ti spiegheremo come abilitare il controllo degli eventi rilevanti in Windows, analizzeremo i segnali su cui si basa la regola integrata per identificare un processo sospetto. InTrust lo è per la raccolta, l'analisi e l'archiviazione di dati non strutturati, che hanno già centinaia di reazioni predefinite a vari tipi di attacchi.
Quando il programma viene avviato, viene caricato nella memoria del computer. Il file eseguibile contiene istruzioni per il computer e librerie di supporto (ad esempio *.dll). Quando un processo è già in esecuzione, può creare thread aggiuntivi. I thread consentono a un processo di eseguire simultaneamente diversi set di istruzioni. Esistono molti modi in cui il codice dannoso può penetrare nella memoria ed essere eseguito, esaminiamone alcuni.
Il modo più semplice per avviare un processo dannoso è forzare l'utente ad avviarlo direttamente (ad esempio, da un allegato di posta elettronica), quindi utilizzare la chiave RunOnce per avviarlo ogni volta che il computer viene acceso. Ciò include anche malware "senza file" che memorizza gli script PowerShell in chiavi di registro eseguite in base a un trigger. In questo caso, lo script PowerShell è un codice dannoso.
Il problema con l'esecuzione esplicita del malware è che si tratta di un approccio noto che può essere facilmente rilevato. Alcuni malware eseguono operazioni più intelligenti, ad esempio utilizzano un altro processo per avviare l'esecuzione in memoria. Pertanto, un processo può creare un altro processo eseguendo un'istruzione specifica del computer e specificando un file eseguibile (.exe) da eseguire.
Il file può essere specificato utilizzando un percorso completo (ad esempio, C:Windowssystem32cmd.exe) o un percorso parziale (ad esempio, cmd.exe). Se il processo originale non è sicuro, consentirà l'esecuzione di programmi illegittimi. Un attacco può assomigliare a questo: un processo avvia cmd.exe senza specificare il percorso completo, l'aggressore posiziona il suo cmd.exe in un luogo in cui il processo lo avvia prima di quello legittimo. Una volta eseguito, il malware può a sua volta avviare un programma legittimo (come C:Windowssystem32cmd.exe) in modo che il programma originale continui a funzionare correttamente.
Una variante dell'attacco precedente è l'inserimento di DLL in un processo legittimo. Quando un processo viene avviato, trova e carica librerie che ne estendono le funzionalità. Utilizzando l'iniezione DLL, un utente malintenzionato crea una libreria dannosa con lo stesso nome e API di quella legittima. Il programma carica una libreria dannosa e, a sua volta, ne carica una legittima e, se necessario, la chiama per eseguire operazioni. La libreria dannosa inizia a fungere da proxy per la libreria valida.
Un altro modo per inserire codice dannoso in memoria è inserirlo in un processo non sicuro già in esecuzione. I processi ricevono input da varie fonti: lettura dalla rete o da file. In genere eseguono un controllo per garantire che l'input sia legittimo. Ma alcuni processi non dispongono di una protezione adeguata durante l'esecuzione delle istruzioni. In questo attacco non è presente alcuna libreria su disco o file eseguibile contenente codice dannoso. Tutto viene archiviato in memoria insieme al processo sfruttato.
Consideriamo ora la metodologia per abilitare la raccolta di tali eventi in Windows e la regola in InTrust che implementa la protezione contro tali minacce. Per prima cosa attiviamolo tramite la console di gestione InTrust.
La regola utilizza le funzionalità di tracciamento dei processi del sistema operativo Windows. Sfortunatamente, consentire la raccolta di tali eventi è tutt’altro che ovvio. Esistono 3 diverse impostazioni di Criteri di gruppo che devi modificare:
Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Criteri di controllo > Monitoraggio del processo di controllo
Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Configurazione avanzata dei criteri di controllo > Criteri di controllo > Monitoraggio dettagliato > Creazione del processo di controllo
Configurazione computer > Criteri > Modelli amministrativi > Sistema > Creazione del processo di controllo > Includi la riga di comando negli eventi di creazione del processo
Una volta abilitate, le regole InTrust consentono di rilevare minacce precedentemente sconosciute che presentano comportamenti sospetti. Ad esempio, puoi identificare Malware Dridex. Grazie al progetto HP Bromium, sappiamo come funziona questa minaccia.
Nella sua catena di azioni, Dridex utilizza schtasks.exe per creare un'attività pianificata. L'utilizzo di questa particolare utility dalla riga di comando è considerato un comportamento molto sospetto; il lancio di svchost.exe con parametri che puntano alle cartelle dell'utente o con parametri simili ai comandi "net view" o "whoami" sembra simile. Ecco un frammento del corrispondente :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themIn InTrust, tutti i comportamenti sospetti sono inclusi in un'unica regola, perché la maggior parte di queste azioni non sono specifiche per una particolare minaccia, ma piuttosto sono sospette nel complesso e nel 99% dei casi vengono utilizzate per scopi non del tutto nobili. Questo elenco di azioni include, ma non è limitato a:
- Processi eseguiti da posizioni insolite, come le cartelle temporanee dell'utente.
- Processo di sistema noto con ereditarietà sospetta: alcune minacce potrebbero tentare di utilizzare il nome dei processi di sistema per non essere rilevate.
- Esecuzioni sospette di strumenti amministrativi come cmd o PsExec quando utilizzano credenziali del sistema locale o ereditarietà sospetta.
- Operazioni di copia shadow sospette sono un comportamento comune dei virus ransomware prima di crittografare un sistema; uccidono i backup:
— Tramite vssadmin.exe;
- Tramite WMI. - Registra dump di interi hive del registro.
- Movimento orizzontale del codice dannoso quando un processo viene avviato in remoto utilizzando comandi come at.exe.
- Operazioni sospette di gruppi locali e operazioni di dominio che utilizzano net.exe.
- Attività sospetta del firewall tramite netsh.exe.
- Manipolazione sospetta dell'ACL.
- Utilizzo di BITS per l'esfiltrazione dei dati.
- Manipolazioni sospette con WMI.
- Comandi script sospetti.
- Tenta di scaricare file di sistema protetti.
La regola combinata funziona molto bene per rilevare minacce come RUYK, LockerGoga e altri ransomware, malware e toolkit di criminalità informatica. La regola è stata testata dal fornitore in ambienti di produzione per ridurre al minimo i falsi positivi. E grazie al progetto SIGMA, la maggior parte di questi indicatori produce un numero minimo di eventi acustici.
Perché In InTrust questa è una regola di monitoraggio, puoi eseguire uno script di risposta come reazione a una minaccia. Puoi utilizzare uno degli script integrati o crearne uno tuo e InTrust lo distribuirà automaticamente.
Inoltre, puoi controllare tutta la telemetria relativa agli eventi: script PowerShell, esecuzione di processi, manipolazioni di attività pianificate, attività amministrativa WMI e utilizzarli per le autopsie durante gli incidenti di sicurezza.
InTrust ha centinaia di altre regole, alcune delle quali:
- Il rilevamento di un attacco di downgrade di PowerShell avviene quando qualcuno utilizza deliberatamente una versione precedente di PowerShell perché... nella versione precedente non c'era modo di verificare cosa stava succedendo.
- Il rilevamento degli accessi con privilegi elevati avviene quando gli account membri di uno specifico gruppo privilegiato (come gli amministratori di dominio) accedono alle workstation per sbaglio o a causa di incidenti di sicurezza.
InTrust ti consente di utilizzare le migliori pratiche di sicurezza sotto forma di regole di rilevamento e reazione predefinite. E se ritieni che qualcosa dovrebbe funzionare diversamente, puoi creare la tua copia della regola e configurarla secondo necessità. È possibile presentare una domanda per condurre un progetto pilota o ottenere kit di distribuzione con licenze temporanee tramite sul nostro sito
Iscriviti al nostro , vi pubblichiamo brevi note e link interessanti.
Leggi i nostri altri articoli sulla sicurezza delle informazioni:
(articolo popolare)
Fonte: habr.com