Windows에서 의심스러운 프로세스 실행에 대한 이벤트 수집을 활성화하고 Quest InTrust를 사용하여 위협을 식별합니다.

가장 일반적인 유형의 공격 중 하나는 완전히 존경할 만한 프로세스 아래의 트리에서 악성 프로세스를 생성하는 것입니다. 실행 파일의 경로로 인해 의심이 생길 수 있습니다. 맬웨어는 AppData 또는 Temp 폴더를 사용하는 경우가 많으며 이는 합법적인 프로그램에서는 일반적이지 않습니다. 공평하게 말하면 일부 자동 업데이트 유틸리티가 AppData에서 실행되므로 실행 위치를 확인하는 것만으로는 프로그램이 악성인지 확인하는 데 충분하지 않습니다.

적법성의 추가 요소는 암호화 서명입니다. 많은 원본 프로그램은 공급업체에서 서명합니다. 의심스러운 시작 항목을 식별하는 방법으로 서명이 없다는 사실을 활용할 수 있습니다. 하지만 훔친 인증서를 사용하여 자신을 서명하는 악성 코드도 있습니다.

또한 이전에 감지된 일부 악성 코드에 해당할 수 있는 MD5 또는 SHA256 암호화 해시 값을 확인할 수도 있습니다. 프로그램의 서명을 확인하여 정적 분석을 수행할 수 있습니다(Yara 규칙 또는 바이러스 백신 제품 사용). 동적 분석(안전한 환경에서 프로그램을 실행하고 해당 동작을 모니터링하는 것)과 리버스 엔지니어링도 있습니다.

악의적인 프로세스의 징후는 다양할 수 있습니다. 이 기사에서는 Windows에서 관련 이벤트 감사를 활성화하는 방법을 설명하고 기본 제공 규칙이 의존하는 징후를 분석합니다. 맡기다 의심스러운 프로세스를 식별합니다. 인트러스트는 CLM 플랫폼 다양한 유형의 공격에 대해 이미 수백 가지의 사전 정의된 반응이 있는 비정형 데이터를 수집, 분석 및 저장합니다.

프로그램이 시작되면 컴퓨터 메모리에 로드됩니다. 실행 파일에는 컴퓨터 지침과 지원 라이브러리(예: *.dll)가 포함되어 있습니다. 프로세스가 이미 실행 중인 경우 추가 스레드를 생성할 수 있습니다. 스레드를 사용하면 프로세스가 서로 다른 명령 집합을 동시에 실행할 수 있습니다. 악성 코드가 메모리에 침투하여 실행되는 방법은 여러 가지가 있는데, 그중 몇 가지를 살펴보겠습니다.

악성 프로세스를 시작하는 가장 쉬운 방법은 사용자가 직접(예: 이메일 첨부 파일에서) 실행하도록 한 다음 컴퓨터가 켜질 때마다 RunOnce 키를 사용하여 실행하는 것입니다. 여기에는 트리거에 따라 실행되는 레지스트리 키에 PowerShell 스크립트를 저장하는 "파일 없는" 악성 코드도 포함됩니다. 이 경우 PowerShell 스크립트는 악성 코드입니다.

명시적으로 맬웨어를 실행할 때의 문제점은 이것이 쉽게 탐지되는 알려진 접근 방식이라는 것입니다. 일부 악성 코드는 다른 프로세스를 사용하여 메모리에서 실행을 시작하는 등 더 영리한 작업을 수행합니다. 따라서 프로세스는 특정 컴퓨터 명령을 실행하고 실행할 실행 파일(.exe)을 지정하여 다른 프로세스를 생성할 수 있습니다.

파일은 전체 경로(예: C:Windowssystem32cmd.exe) 또는 부분 경로(예: cmd.exe)를 사용하여 지정할 수 있습니다. 원래 프로세스가 안전하지 않으면 불법 프로그램이 실행될 수 있습니다. 공격은 다음과 같이 보일 수 있습니다. 프로세스가 전체 경로를 지정하지 않고 cmd.exe를 시작하고, 공격자는 프로세스가 합법적인 경로보다 먼저 cmd.exe를 시작하도록 cmd.exe를 특정 위치에 배치합니다. 맬웨어가 실행되면 합법적인 프로그램(예: C:Windowssystem32cmd.exe)을 실행하여 원래 프로그램이 계속 제대로 작동하도록 할 수 있습니다.

이전 공격의 변형은 합법적인 프로세스에 DLL을 주입하는 것입니다. 프로세스가 시작되면 해당 기능을 확장하는 라이브러리를 찾아 로드합니다. 공격자는 DLL 주입을 사용하여 합법적인 라이브러리와 동일한 이름과 API를 사용하여 악성 라이브러리를 생성합니다. 프로그램은 악성 라이브러리를 로드하고, 차례로 합법적인 라이브러리를 로드하고, 필요에 따라 이를 호출하여 작업을 수행합니다. 악성 라이브러리가 좋은 라이브러리의 프록시 역할을 하기 시작합니다.

악성 코드를 메모리에 넣는 또 다른 방법은 이미 실행 중인 안전하지 않은 프로세스에 악성 코드를 삽입하는 것입니다. 프로세스는 네트워크나 파일에서 읽는 등 다양한 소스로부터 입력을 받습니다. 일반적으로 입력이 합법적인지 확인하기 위해 검사를 수행합니다. 그러나 일부 프로세스에는 명령을 실행할 때 적절한 보호 기능이 없습니다. 이번 공격에는 악성코드가 포함된 디스크 라이브러리나 실행 파일이 존재하지 않는다. 모든 것은 악용되는 프로세스와 함께 메모리에 저장됩니다.

이제 Windows에서 이러한 이벤트 수집을 활성화하는 방법과 이러한 위협에 대한 보호를 구현하는 InTrust의 규칙을 살펴보겠습니다. 먼저 InTrust 관리 콘솔을 통해 활성화해 보겠습니다.

규칙은 Windows OS의 프로세스 추적 기능을 사용합니다. 불행하게도 그러한 이벤트를 수집하는 것은 결코 쉽지 않습니다. 변경해야 할 그룹 정책 설정은 3가지가 있습니다.

컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 감사 정책 > 감사 프로세스 추적

컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 감사 정책 > 세부 추적 > 감사 프로세스 생성

컴퓨터 구성 > 정책 > 관리 템플릿 > 시스템 > 프로세스 생성 감사 > 프로세스 생성 이벤트에 명령줄 포함

InTrust 규칙을 활성화하면 의심스러운 행동을 보이는 이전에 알려지지 않은 위협을 탐지할 수 있습니다. 예를 들어 다음을 식별할 수 있습니다. 여기에 설명되어 있습니다 Dridex 악성코드. HP Bromium 프로젝트 덕분에 우리는 이 위협이 어떻게 작동하는지 알고 있습니다.

일련의 작업에서 Dridex는 schtasks.exe를 사용하여 예약된 작업을 생성합니다. 명령줄에서 이 특정 유틸리티를 사용하는 것은 매우 의심스러운 동작으로 간주됩니다. 사용자 폴더를 가리키는 매개변수나 "net view" 또는 "whoami" 명령과 유사한 매개변수를 사용하여 svchost.exe를 실행하는 것은 유사해 보입니다. 다음은 해당 부분의 일부입니다. 시그마 규칙:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust에서는 모든 의심스러운 행동이 하나의 규칙에 포함됩니다. 왜냐하면 이러한 행동의 대부분은 특정 위협에 국한된 것이 아니라 복잡한 곳에서 의심스럽고 99%의 경우 완전히 고귀한 목적이 아닌 용도로 사용되기 때문입니다. 이 작업 목록에는 다음이 포함되지만 이에 국한되지는 않습니다.

• 사용자 임시 폴더와 같은 비정상적인 위치에서 실행되는 프로세스.
• 의심스러운 상속이 있는 잘 알려진 시스템 프로세스 - 일부 위협은 탐지되지 않은 상태로 유지하기 위해 시스템 프로세스의 이름을 사용하려고 시도할 수 있습니다.
• 로컬 시스템 자격 증명이나 의심스러운 상속을 사용할 때 cmd 또는 PsExec와 같은 관리 도구가 의심스럽게 실행됩니다.
• 의심스러운 섀도 복사 작업은 시스템을 암호화하기 전 랜섬웨어 바이러스의 일반적인 동작으로, 백업을 중단시킵니다.

  — vssadmin.exe를 통해;
  - WMI를 통해.

• 전체 레지스트리 하이브의 덤프를 등록합니다.
• at.exe 등의 명령어를 이용해 원격으로 프로세스를 실행하면 악성코드의 수평 이동이 발생한다.
• net.exe를 사용한 의심스러운 로컬 그룹 작업 및 도메인 작업.
• netsh.exe를 사용한 의심스러운 방화벽 활동.
• ACL 조작이 의심됩니다.
• 데이터 유출에 BITS를 사용합니다.
• WMI를 이용한 의심스러운 조작.
• 의심스러운 스크립트 명령.
• 보안 시스템 파일을 덤프하려고 시도합니다.

결합된 규칙은 RUYK, LockerGoga 및 기타 랜섬웨어, 맬웨어 및 사이버 범죄 툴킷과 같은 위협을 탐지하는 데 매우 효과적입니다. 이 규칙은 오탐을 최소화하기 위해 프로덕션 환경에서 공급업체에 의해 테스트되었습니다. 그리고 SIGMA 프로젝트 덕분에 이러한 지표의 대부분은 최소한의 소음 이벤트를 생성합니다.

왜냐하면 InTrust에서는 이것이 모니터링 규칙이므로 위협에 대한 대응으로 대응 스크립트를 실행할 수 있습니다. 내장된 스크립트 중 하나를 사용하거나 직접 작성하면 InTrust가 자동으로 배포합니다.

또한 PowerShell 스크립트, 프로세스 실행, 예약된 작업 조작, WMI 관리 활동 등 모든 이벤트 관련 원격 측정을 검사하고 보안 사고 발생 시 사후 조사에 사용할 수 있습니다.

InTrust에는 수백 가지의 다른 규칙이 있으며 그 중 일부는 다음과 같습니다.

• PowerShell 다운그레이드 공격을 감지하는 것은 누군가 의도적으로 이전 버전의 PowerShell을 사용하는 경우입니다. 이전 버전에서는 무슨 일이 일어나고 있는지 감사할 방법이 없었습니다.
• 높은 권한 로그온 감지는 특정 권한이 있는 그룹(예: 도메인 관리자)의 구성원인 계정이 실수로 또는 보안 사고로 인해 워크스테이션에 로그온하는 경우입니다.

InTrust를 사용하면 사전 정의된 탐지 및 대응 규칙의 형태로 최상의 보안 사례를 사용할 수 있습니다. 그리고 뭔가 다르게 작동해야 한다고 생각한다면 규칙의 복사본을 직접 만들어 필요에 따라 구성할 수 있습니다. 파일럿을 수행하거나 임시 라이센스가 포함된 배포 키트를 얻기 위한 신청서를 다음을 통해 제출할 수 있습니다. 피드백 양식 우리 웹 사이트에

우리의 구독 페이스북 페이지, 우리는 거기에 짧은 메모와 흥미로운 링크를 게시합니다.

정보 보안에 관한 다른 기사를 읽어보세요.

InTrust가 RDP를 통한 인증 시도 실패율을 줄이는 데 어떻게 도움이 됩니까?

우리는 랜섬웨어 공격을 감지하고 도메인 컨트롤러에 대한 액세스 권한을 얻은 후 이러한 공격에 저항하려고 노력합니다.

Windows 기반 워크스테이션의 로그에서 어떤 유용한 정보를 추출할 수 있나요? (인기 기사)

펜치나 덕테이프 없이 사용자의 라이프사이클 추적

누가 그랬나요? 정보 보안 감사를 자동화합니다.

SIEM 시스템의 소유 비용을 줄이는 방법과 중앙 로그 관리(CLM)가 필요한 이유

출처 : habr.com