🥇Windows での不審なプロセスの起動に関するイベントの収集を有効にし、Quest InTrust

最も一般的なタイプの攻撃の XNUMX つは、完全に正当なプロセスの下にあるツリー内に悪意のあるプロセスを生成することです。実行可能ファイルへのパスが疑わしい可能性があります。マルウェアは AppData フォルダーまたは Temp フォルダーを使用することがよくありますが、これは正規のプログラムでは一般的ではありません。公平を期すために、一部の自動更新ユーティリティは AppData で実行されるため、起動場所を確認するだけではプログラムが悪意のあるものであるかどうかを確認するのに十分ではありません。

正当性の追加要素は暗号署名です。多くのオリジナルプログラムはベンダーによって署名されています。署名がないことは、不審な起動項目を識別する方法として使用できます。しかし、盗んだ証明書を使用して自身に署名するマルウェアが再び存在します。

MD5 または SHA256 暗号化ハッシュの値を確認することもできます。これは、以前に検出されたマルウェアに対応している可能性があります。 (Yara ルールまたはウイルス対策製品を使用して) プログラム内のシグネチャを調べることで、静的分析を実行できます。動的分析 (安全な環境でプログラムを実行し、その動作を監視する) やリバースエンジニアリングもあります。

悪意のあるプロセスの兆候は数多く存在する可能性があります。この記事では、Windows で関連イベントの監査を有効にする方法を説明し、組み込みルールが依存する兆候を分析します。イントラスト疑わしいプロセスを特定します。イントラストは CLMプラットフォーム非構造化データの収集、分析、保存には、さまざまな種類の攻撃に対する事前定義済みの反応がすでに数百も含まれています。

プログラムが起動されると、コンピューターのメモリにロードされます。実行可能ファイルには、コンピューターの命令とサポートライブラリ (*.dll など) が含まれています。プロセスがすでに実行中の場合、追加のスレッドを作成できます。スレッドを使用すると、プロセスは異なる命令セットを同時に実行できます。悪意のあるコードがメモリに侵入して実行される方法は数多くあります。その一部を見てみましょう。

悪意のあるプロセスを起動する最も簡単な方法は、ユーザーに直接 (電子メールの添付ファイルなどから) 起動するよう強制し、コンピュータの電源を入れるたびに RunOnce キーを使用して起動することです。これには、トリガーに基づいて実行される PowerShell スクリプトをレジストリキーに保存する「ファイルレス」マルウェアも含まれます。この場合、PowerShell スクリプトは悪意のあるコードです。

マルウェアを明示的に実行する場合の問題は、それが簡単に検出される既知のアプローチであることです。一部のマルウェアは、別のプロセスを使用してメモリ内で実行を開始するなど、より賢いことを行います。したがって、プロセスは、特定のコンピューター命令を実行し、実行する実行可能ファイル (.exe) を指定することによって、別のプロセスを作成できます。

ファイルは、完全パス (C:Windowssystem32cmd.exe など) または部分パス (cmd.exe など) を使用して指定できます。元のプロセスが安全でない場合、不正なプログラムの実行が可能になります。攻撃は次のようになります。プロセスがフルパスを指定せずに cmd.exe を起動し、攻撃者が自分の cmd.exe を適切な場所に配置して、プロセスが正規のプロセスより先に起動するようにします。マルウェアが実行されると、正規のプログラム (C:Windowssystem32cmd.exe など) が起動され、元のプログラムが正常に動作し続ける可能性があります。

前述の攻撃のバリエーションとして、正規のプロセスへの DLL インジェクションがあります。プロセスが開始されると、その機能を拡張するライブラリを検索してロードします。 DLL インジェクションを使用して、攻撃者は正規のものと同じ名前と API を持つ悪意のあるライブラリを作成します。このプログラムは悪意のあるライブラリをロードし、次に正規のライブラリをロードし、必要に応じてそれを呼び出して操作を実行します。悪意のあるライブラリは、善良なライブラリのプロキシとして動作し始めます。

悪意のあるコードをメモリに挿入するもう XNUMX つの方法は、すでに実行されている安全でないプロセスにそのコードを挿入することです。プロセスは、ネットワークやファイルからの読み取りなど、さまざまなソースから入力を受け取ります。通常、入力が正当であることを確認するためにチェックが実行されます。ただし、一部のプロセスには、命令の実行時に適切な保護がありません。この攻撃では、ディスク上にライブラリや悪意のあるコードを含む実行可能ファイルは存在しません。すべては悪用されるプロセスとともにメモリに保存されます。

次に、Windows でこのようなイベントの収集を有効にする方法と、そのような脅威に対する保護を実装する InTrust のルールを見てみましょう。まず、InTrust 管理コンソールを通じてアクティブ化しましょう。

このルールは、Windows OS のプロセス追跡機能を使用します。残念ながら、このようなイベントの収集を有効にすることは決して明らかではありません。変更する必要がある 3 つの異なるグループポリシー設定があります。

[コンピュータの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [監査ポリシー] > [監査プロセスの追跡]

[コンピュータの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [詳細な監査ポリシーの構成] > [監査ポリシー] > [詳細な追跡] > [監査プロセスの作成]

[コンピュータの構成] > [ポリシー] > [管理用テンプレート] > [システム] > [プロセス作成の監査] > [プロセス作成イベントにコマンドラインを含める]

InTrust ルールを有効にすると、不審な動作を示すこれまで知られていなかった脅威を検出できるようになります。たとえば、次のように識別できます。ここで説明されています Dridex マルウェア。 HP Bromium プロジェクトのおかげで、私たちはこの脅威がどのように機能するかを理解しています。

一連のアクションの中で、Dridex は schtasks.exe を使用してスケジュールされたタスクを作成します。コマンドラインからこの特定のユーティリティを使用することは、非常に疑わしい動作であると考えられます。ユーザーフォルダーを指すパラメーター、または「net view」または「whoami」コマンドに類似したパラメーターを使用して svchost.exe を起動することは、同様に見えます。これは対応するものの断片ですシグマルール:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust では、すべての不審な動作が 99 つのルールに含まれます。これは、これらの動作のほとんどが特定の脅威に固有のものではなく、複合体内で不審であり、ケースの XNUMX% が完全に崇高な目的ではないために使用されるためです。このアクションのリストには次のものが含まれますが、これらに限定されません。

ユーザーの一時フォルダーなど、通常とは異なる場所から実行されているプロセス。
疑わしい継承を持つ既知のシステムプロセス - 一部の脅威は、システムプロセスの名前を使用して検出されないようにする可能性があります。
cmd や PsExec などの管理ツールがローカルシステムの資格情報または不審な継承を使用する場合、それらが不審に実行されます。
不審なシャドウコピー操作は、システムを暗号化する前のランサムウェアウイルスの一般的な動作であり、バックアップを強制終了します。
— vssadmin.exe経由;
- WMI経由。
レジストリハイブ全体のダンプを登録します。
at.exe などのコマンドを使用してプロセスがリモートで起動されるときの、悪意のあるコードの水平方向の移動。
net.exe を使用した不審なローカルグループ操作およびドメイン操作。
netsh.exe を使用した不審なファイアウォールアクティビティ。
ACL の不審な操作。
データ抽出に BITS を使用する。
WMI による不審な操作。
不審なスクリプトコマンド。
安全なシステムファイルをダンプしようとします。

組み合わせたルールは、RUYK、LockerGoga、その他のランサムウェア、マルウェア、サイバー犯罪ツールキットなどの脅威を検出するのに非常にうまく機能します。このルールは、誤検知を最小限に抑えるために、実稼働環境でベンダーによってテストされています。そして、SIGMA プロジェクトのおかげで、これらのインジケーターのほとんどは最小限の数のノイズイベントを生成します。

なぜならInTrust では、これは監視ルールであり、脅威への対応として応答スクリプトを実行できます。組み込みスクリプトのいずれかを使用するか、独自のスクリプトを作成すると、InTrust が自動的に配布します。

さらに、PowerShell スクリプト、プロセスの実行、スケジュールされたタスクの操作、WMI 管理アクティビティなど、すべてのイベント関連のテレメトリを検査し、セキュリティインシデント時の事後分析に使用できます。

InTrust には他にも何百ものルールがあります。そのうちのいくつかは次のとおりです。

PowerShell のダウングレード攻撃は、誰かが意図的に古いバージョンの PowerShell を使用するときに検出されます。古いバージョンでは、何が起こっているかを監査する方法がありませんでした。
高特権ログオンの検出は、特定の特権グループ (ドメイン管理者など) のメンバーであるアカウントが誤って、またはセキュリティインシデントによりワークステーションにログオンした場合に発生します。

InTrust を使用すると、事前定義された検出ルールと対応ルールの形式でセキュリティのベストプラクティスを使用できます。また、何かが異なる動作をする必要があると思われる場合は、ルールの独自のコピーを作成し、必要に応じて構成できます。パイロットを実施するための申請書、または一時ライセンス付きの配布キットを取得するための申請書は、次の方法で提出できます。フィードバックフォーム私達のウェブサイトで。

購読してください Facebookのページ、そこに短いメモと興味深いリンクを公開しています。

情報セキュリティに関する他の記事をお読みください。

InTrust が RDP 経由の認証試行の失敗率を減らすのにどのように役立つか

ランサムウェア攻撃を検出し、ドメインコントローラーにアクセスして、これらの攻撃に対抗しようとします。

Windows OS ベースのワークステーションのログから役立つこと (人気記事)

ペンチやダクトテープを使わずにユーザーのライフサイクルを追跡

そして誰がやったの？情報セキュリティ監査を自動化します

SIEM システムの所有コストを削減する方法と中央ログ管理 (CLM) が必要な理由

出所： habr.com