אנו מאפשרים איסוף אירועים על השקת תהליכים חשודים ב-Windows ומזהים איומים באמצעות Quest InTrust

אחד מסוגי ההתקפות הנפוצים ביותר הוא השרצת תהליך זדוני בעץ בתהליכים מכובדים לחלוטין. הנתיב לקובץ ההפעלה עשוי להיות חשוד: תוכנות זדוניות משתמשות לעתים קרובות בתיקיות AppData או Temp, וזה לא אופייני לתוכניות לגיטימיות. למען ההגינות, כדאי לומר שכמה כלי עזר לעדכון אוטומטי מופעלים ב-AppData, כך שרק בדיקת מיקום ההשקה אינה מספיקה כדי לאשר שהתוכנית זדונית.

גורם נוסף של לגיטימיות הוא חתימה קריפטוגרפית: תוכניות מקוריות רבות חתומות על ידי הספק. אתה יכול להשתמש בעובדה שאין חתימה כשיטה לזיהוי פריטי הפעלה חשודים. אבל שוב יש תוכנה זדונית שמשתמשת בתעודה גנובה כדי לחתום את עצמה.

אתה יכול גם לבדוק את הערך של גיבוב קריפטוגרפי MD5 או SHA256, שעשוי להתאים לכמה תוכנות זדוניות שזוהו בעבר. ניתן לבצע ניתוח סטטי על ידי התבוננות בחתימות בתוכנית (באמצעות חוקי יארה או מוצרי אנטי וירוס). יש גם ניתוח דינמי (הפעלת תוכנית בסביבה בטוחה כלשהי ומעקב אחר פעולותיה) והנדסה לאחור.

יכולים להיות סימנים רבים לתהליך זדוני. במאמר זה נספר לכם כיצד לאפשר ביקורת של אירועים רלוונטיים ב-Windows, ננתח את הסימנים עליהם מסתמך הכלל המובנה InTrust לזהות תהליך חשוד. InTrust הוא פלטפורמת CLM לאיסוף, ניתוח ואחסון נתונים לא מובנים, שכבר יש לו מאות תגובות מוגדרות מראש לסוגים שונים של התקפות.

כאשר התוכנית מופעלת, היא נטענת לזיכרון המחשב. קובץ ההפעלה מכיל הוראות מחשב וספריות תומכות (לדוגמה, *.dll). כאשר תהליך כבר פועל, הוא יכול ליצור שרשורים נוספים. שרשורים מאפשרים לתהליך לבצע קבוצות שונות של הוראות בו זמנית. ישנן דרכים רבות לקוד זדוני לחדור לזיכרון ולרוץ, בואו נסתכל על כמה מהן.

הדרך הקלה ביותר להפעיל תהליך זדוני היא לאלץ את המשתמש להפעיל אותו ישירות (לדוגמה, מקובץ מצורף לדוא"ל), ולאחר מכן להשתמש במקש RunOnce כדי להפעיל אותו בכל פעם שהמחשב מופעל. זה כולל גם תוכנה זדונית "נטולת קבצים" המאחסנת סקריפטים של PowerShell במפתחות רישום המופעלים על סמך טריגר. במקרה זה, הסקריפט של PowerShell הוא קוד זדוני.

הבעיה בהפעלת תוכנה זדונית במפורש היא שזוהי גישה ידועה שמתגלה בקלות. תוכנות זדוניות מסוימות עושות דברים חכמים יותר, כמו שימוש בתהליך אחר כדי להתחיל לבצע בזיכרון. לכן, תהליך יכול ליצור תהליך אחר על ידי הפעלת הוראת מחשב ספציפית וציון קובץ הפעלה (.exe) להפעלה.

ניתן לציין את הקובץ באמצעות נתיב מלא (לדוגמה, C:Windowssystem32cmd.exe) או נתיב חלקי (לדוגמה, cmd.exe). אם התהליך המקורי אינו מאובטח, הוא יאפשר לתוכניות לא לגיטימיות לפעול. התקפה יכולה להיראות כך: תהליך מפעיל את cmd.exe מבלי לציין את הנתיב המלא, התוקף מציב את cmd.exe שלו במקום כך שהתהליך מפעיל אותו לפני הנתיב הלגיטימי. ברגע שהתוכנה הזדונית פועלת, היא יכולה בתורה להפעיל תוכנית לגיטימית (כגון C:Windowssystem32cmd.exe) כך שהתוכנית המקורית תמשיך לעבוד כראוי.

וריאציה של המתקפה הקודמת היא הזרקת DLL לתהליך לגיטימי. כאשר תהליך מתחיל, הוא מוצא וטוען ספריות שמרחיבות את הפונקציונליות שלו. באמצעות הזרקת DLL, תוקף יוצר ספרייה זדונית עם אותו שם ו-API כמו ספרייה לגיטימית. התוכנית טוענת ספרייה זדונית, והיא, בתורה, טוענת ספרייה לגיטימית, ובמידת הצורך קוראת לה לבצע פעולות. הספרייה הזדונית מתחילה לפעול כפרוקסי לספרייה הטובה.

דרך נוספת להכניס קוד זדוני לזיכרון היא להכניס אותו לתהליך לא בטוח שכבר פועל. תהליכים מקבלים קלט ממקורות שונים - קריאה מהרשת או מקבצים. בדרך כלל הם מבצעים בדיקה כדי לוודא שהקלט הוא לגיטימי. אבל לחלק מהתהליכים אין הגנה מתאימה בעת ביצוע הוראות. בהתקפה זו, אין ספריה בדיסק או קובץ הפעלה המכילים קוד זדוני. הכל מאוחסן בזיכרון יחד עם התהליך המנוצל.

כעת נסתכל על המתודולוגיה לאפשר איסוף אירועים כאלה ב-Windows ואת הכלל ב-InTrust שמיישם הגנה מפני איומים כאלה. ראשית, בואו נפעיל אותו דרך מסוף הניהול של InTrust.

הכלל משתמש ביכולות מעקב התהליך של מערכת ההפעלה Windows. למרבה הצער, הפעלת איסוף אירועים כאלה רחוקה מלהיות ברורה מאליה. ישנן 3 הגדרות שונות של מדיניות קבוצתית שעליך לשנות:

תצורת מחשב > מדיניות > הגדרות Windows > הגדרות אבטחה > מדיניות מקומית > מדיניות ביקורת > מעקב אחר תהליך ביקורת

תצורת מחשב > מדיניות > הגדרות Windows > הגדרות אבטחה > תצורת מדיניות ביקורת מתקדמת > מדיניות ביקורת > מעקב מפורט > יצירת תהליך ביקורת

תצורת מחשב > מדיניות > תבניות ניהול > מערכת > יצירת תהליך ביקורת > כלול שורת פקודה באירועי יצירת תהליך

לאחר הפעלתם, כללי InTrust מאפשרים לך לזהות איומים שלא היו ידועים בעבר שמפגינים התנהגות חשודה. לדוגמה, אתה יכול לזהות המתואר כאן תוכנה זדונית של Dridex. הודות לפרויקט HP Bromium, אנו יודעים כיצד האיום הזה עובד.

בשרשרת הפעולות שלה, Dridex משתמשת ב-schtasks.exe כדי ליצור משימה מתוזמנת. שימוש בכלי השירות המסוים הזה משורת הפקודה נחשב להתנהגות חשודה מאוד; הפעלת svchost.exe עם פרמטרים המצביעים על תיקיות משתמש או עם פרמטרים דומים לפקודות "net view" או "whoami" נראית דומה. הנה קטע מהמתאים חוקי SIGMA:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

ב-InTrust, כל התנהגות חשודה נכללת בכלל אחד, מכיוון שרוב הפעולות הללו אינן ספציפיות לאיום מסוים, אלא הן חשודות במתחם וב-99% מהמקרים משמשות למטרות לא לגמרי נעלות. רשימת פעולות זו כוללת בין היתר:

• תהליכים הפועלים ממיקומים חריגים, כגון תיקיות זמניות של המשתמש.
• תהליך מערכת ידוע עם ירושה חשודה - איומים מסוימים עשויים לנסות להשתמש בשם של תהליכי מערכת כדי להישאר בלתי מזוהים.
• ביצועים חשודים של כלי ניהול כגון cmd או PsExec כאשר הם משתמשים באישורי מערכת מקומיים או בירושה חשודה.
• פעולות חשודות להעתקת צל הן התנהגות נפוצה של וירוסי כופר לפני הצפנת מערכת; הן הורגות גיבויים:

  - דרך vssadmin.exe;
  - דרך WMI.

• רשום מזבלות של כוורות רישום שלמות.
• תנועה אופקית של קוד זדוני כאשר תהליך מופעל מרחוק באמצעות פקודות כגון at.exe.
• פעולות חשודות של קבוצות מקומיות ופעולות תחום באמצעות net.exe.
• פעילות חומת אש חשודה באמצעות netsh.exe.
• מניפולציה חשודה של ה-ACL.
• שימוש ב-BITS לחילוץ נתונים.
• מניפולציות חשודות עם WMI.
• פקודות תסריט חשודות.
• ניסיונות לזרוק קבצי מערכת מאובטחים.

הכלל המשולב עובד טוב מאוד כדי לזהות איומים כגון RUYK, LockerGoga וערכות כלים אחרות של תוכנות כופר, תוכנות זדוניות ופשעי סייבר. הכלל נבדק על ידי הספק בסביבות ייצור כדי למזער תוצאות חיוביות שגויות. ובזכות פרויקט SIGMA, רוב האינדיקטורים הללו מייצרים מספר מינימלי של אירועי רעש.

כי ב-InTrust זהו כלל ניטור, אתה יכול להפעיל סקריפט תגובה כתגובה לאיום. אתה יכול להשתמש באחד מהסקריפטים המובנים או ליצור משלך ו-InTrust יפיץ אותו אוטומטית.

בנוסף, אתה יכול לבדוק את כל הטלמטריה הקשורה לאירועים: סקריפטים של PowerShell, ביצוע תהליכים, מניפולציות מתוזמנות של משימות, פעילות אדמיניסטרטיבית של WMI, ולהשתמש בהם לנתיחה שלאחר המוות במהלך אירועי אבטחה.

ל-InTrust יש מאות כללים אחרים, חלקם:

• זיהוי מתקפת שדרוג לאחור של PowerShell הוא כאשר מישהו משתמש בכוונה בגרסה ישנה יותר של PowerShell מכיוון ש... בגרסה הישנה יותר לא הייתה דרך לבדוק מה קורה.
• זיהוי כניסה עם הרשאות גבוהות הוא כאשר חשבונות שהם חברים בקבוצה מוסמכת מסוימת (כגון מנהלי תחום) נכנסים לתחנות עבודה בטעות או עקב תקריות אבטחה.

InTrust מאפשר לך להשתמש בשיטות האבטחה הטובות ביותר בצורה של כללי זיהוי ותגובה מוגדרים מראש. ואם אתה חושב שמשהו צריך לעבוד אחרת, אתה יכול ליצור עותק משלך של הכלל ולהגדיר אותו לפי הצורך. ניתן להגיש בקשה לביצוע פיילוט או קבלת ערכות הפצה עם רישיונות זמניים דרך טופס משוב באתר שלנו.

הירשמו לנו עמוד בפייסבוק, אנו מפרסמים שם הערות קצרות וקישורים מעניינים.

קרא את המאמרים האחרים שלנו בנושא אבטחת מידע:

כיצד InTrust יכול לעזור להפחית את שיעור ניסיונות ההרשאה הכושלים באמצעות RDP

אנו מזהים מתקפת כופר, מקבלים גישה לבקר התחום ומנסים להתנגד להתקפות אלו

אילו דברים שימושיים ניתן לחלץ מהיומנים של תחנת עבודה מבוססת Windows? (מאמר פופולרי)

מעקב אחר מחזור החיים של משתמשים ללא פלייר או סרט דביק

מי עשה את זה? אנו עושים אוטומציה של ביקורת אבטחת מידע

כיצד להפחית את עלות הבעלות על מערכת SIEM ולמה אתה צריך ניהול יומנים מרכזיים (CLM)

מקור: www.habr.com