Ee vun den heefegsten Aarte vun Attacken ass d'Spuerung vun engem béiswëllegen Prozess an engem Bam ënner komplett respektablen Prozesser. De Wee zu der ausführbarer Datei kann verdächteg sinn: Malware benotzt dacks d'AppData oder Temp Ordner, an dëst ass net typesch fir legitim Programmer. Fir fair ze sinn, ass et derwäert ze soen datt e puer automatesch Update-Utilities an AppData ausgefouert ginn, also just d'Startplaz ze kontrolléieren ass net genuch fir ze bestätegen datt de Programm béiswëlleg ass.
En zousätzleche Faktor vu Legitimitéit ass eng kryptografesch Ënnerschrëft: vill originell Programmer gi vum Verkeefer ënnerschriwwen. Dir kënnt d'Tatsaach benotzen datt et keng Ënnerschrëft gëtt als Method fir verdächteg Startupartikelen z'identifizéieren. Awer erëm gëtt et Malware déi e geklauten Zertifika benotzt fir sech selwer z'ënnerschreiwen.
Dir kënnt och de Wäert vun MD5 oder SHA256 cryptographic hashes kontrolléieren, déi e puer virdrun entdeckt Malware entspriechen kann. Dir kënnt statesch Analyse maachen andeems Dir Ënnerschrëften am Programm kuckt (mat Yara Regelen oder Antivirus Produkter). Et gëtt och dynamesch Analyse (e Programm an engem sécheren Ëmfeld lafen a seng Handlungen iwwerwaachen) a Reverse Engineering.
Et kënne vill Unzeeche vun engem béiswëlleg Prozess ginn. An dësem Artikel wäerte mir Iech soen wéi Dir d'Audit vun relevanten Eventer am Windows aktivéiert, mir analyséieren d'Zeechen op déi déi agebaute Regel hänkt
Wann de Programm lancéiert ass, gëtt et an d'Erënnerung vum Computer gelueden. Déi ausführbar Datei enthält Computerinstruktiounen an ënnerstëtzende Bibliothéiken (zum Beispill *.dll). Wann e Prozess scho leeft, kann en zousätzlech Threads erstellen. Threads erlaben e Prozess verschidde Sets vun Instruktiounen gläichzäiteg auszeféieren. Et gi vill Weeër fir béiswëlleg Code fir d'Erënnerung z'erreechen an ze lafen, loosst eis e puer vun hinnen kucken.
Deen einfachste Wee fir e béiswëlleg Prozess ze lancéieren ass de Benotzer ze zwéngen et direkt ze starten (zum Beispill vun engem E-Mail-Uschlëss), da benotzt de RunOnce-Schlëssel fir et ze starten all Kéier wann de Computer ageschalt ass. Dëst beinhalt och "fileless" Malware déi PowerShell Scripten an Registrierungsschlësselen späichert, déi op engem Ausléiser ausgefouert ginn. An dësem Fall ass de PowerShell Skript béiswëlleg Code.
De Problem mat explizit Lafen Malware ass datt et eng bekannt Approche ass déi einfach erkannt gëtt. E puer Malware mécht méi clever Saachen, sou wéi en anere Prozess ze benotzen fir an der Erënnerung auszeféieren. Dofir kann e Prozess en anere Prozess erstellen andeems Dir eng spezifesch Computerinstruktioun ausféiert an eng ausführbar Datei (.exe) spezifizéiert fir ze lafen.
De Fichier kann mat engem ganze Wee (zum Beispill C: Windowssystem32cmd.exe) oder e partielle Wee (zum Beispill cmd.exe) spezifizéiert ginn. Wann den urspréngleche Prozess onsécher ass, erlaabt et illegitime Programmer ze lafen. En Attack kann esou ausgesinn: e Prozess lancéiert cmd.exe ouni de ganze Wee ze spezifizéieren, den Ugräifer setzt seng cmd.exe op eng Plaz sou datt de Prozess et virum legitimen lancéiert. Soubal d'Malware leeft, kann et am Tour e legitime Programm starten (wéi C: Windowssystem32cmd.exe) sou datt den urspréngleche Programm weider funktionnéiert.
Eng Variant vun der viregter Attack ass DLL Injektioun an e legitime Prozess. Wann e Prozess ufänkt, fënnt a lued Bibliothéiken déi seng Funktionalitéit verlängeren. Mat DLL Injektioun erstellt en Ugräifer eng béiswëlleg Bibliothéik mam selwechten Numm an API als legitim. De Programm lued eng béiswëlleg Bibliothéik, an et, am Tour, lued eng legitim, an, wéi néideg, rifft se fir Operatiounen auszeféieren. Déi béiswëlleg Bibliothéik fänkt un als Proxy fir déi gutt Bibliothéik ze handelen.
Eng aner Manéier fir béiswëlleg Code an d'Erënnerung ze setzen ass et an en onséchere Prozess anzeginn, dee scho leeft. Prozesser kréien Input vu verschiddene Quellen - Liesen aus dem Netz oder Dateien. Si maachen normalerweis e Scheck fir sécherzestellen datt den Input legitim ass. Awer e puer Prozesser hu kee richtege Schutz wann Dir Instruktiounen ausféiert. An dësem Attack gëtt et keng Bibliothéik op der Disk oder ausführbar Datei déi béiswëlleg Code enthält. Alles gëtt an der Erënnerung gespäichert zesumme mam Prozess deen ausgenotzt gëtt.
Loosst eis elo d'Methodologie kucken fir d'Sammlung vun esou Eventer am Windows z'erméiglechen an d'Regel am InTrust déi Schutz géint sou Gefore implementéiert. Als éischt, loosst eis et duerch d'InTrust Management Konsol aktivéieren.
D'Regel benotzt d'Prozess Tracking Fäegkeeten vum Windows OS. Leider ass d'Sammlung vun esou Eventer net evident. Et ginn 3 verschidde Group Policy Astellungen déi Dir musst änneren:
Computer Konfiguratioun > Politik > Windows Astellungen > Sécherheet Astellungen > Lokal Politik > Audit Politik > Audit Prozess Tracking
Computerkonfiguratioun > Politiken > Windows Astellungen > Sécherheetsastellungen > Advanced Audit Policy Configuration > Audit Policies > Detailed Tracking > Audit Prozess Kreatioun
Computer Konfiguratioun> Politiken> Administrativ Templates> System> Audit Prozess Creatioun> Befehl Kommandozeil an Prozess Kreatioun Eventer
Eemol aktivéiert, InTrust Regelen erlaben Iech virdru onbekannte Bedrohungen z'entdecken déi verdächtegt Verhalen weisen. Zum Beispill kënnt Dir identifizéieren
A senger Kette vun Aktiounen benotzt Dridex schtasks.exe fir eng geplangten Aufgab ze kreéieren. D'Benotzung vun dësem speziellen Utility vun der Kommandozeil gëtt als ganz verdächteg Verhalen ugesinn; svchost.exe starten mat Parameteren déi op Benotzerdateien weisen oder mat Parameteren ähnlech wéi d'"Net View" oder "whoami" Befehle gesäit ähnlech aus. Hei ass e Fragment vun der entspriechender
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
Am InTrust ass all verdächteg Verhalen an enger Regel abegraff, well déi meescht vun dësen Aktiounen net spezifesch fir eng bestëmmte Bedrohung sinn, mä éischter verdächteg an engem Komplex sinn an an 99% vun de Fäll fir net ganz nobel Zwecker benotzt ginn. Dës Lëscht vun Aktiounen enthält, awer ass net limitéiert op:
- Prozesser lafen aus ongewéinleche Plazen, sou wéi temporäre Benotzerdateien.
- Bekannte Systemprozess mat verdächteger Ierfschaft - e puer Gefore kënne probéieren den Numm vun de Systemprozesser ze benotzen fir onerkannt ze bleiwen.
- Verdächteg Ausféierung vun administrativen Tools wéi cmd oder PsExec wann se lokal System Umeldungsinformatiounen oder verdächteg Ierfschaft benotzen.
- Verdächteg Shadow Copy Operatiounen sinn e gemeinsamt Verhalen vu Ransomware Viren ier e System verschlësselt gëtt; si kill Backups ëm:
- Via vssadmin.exe;
- Via WMI. - Registréiert Dumps vu ganze Registry Hives.
- Horizontal Bewegung vu béiswëllegen Code wann e Prozess op afstand lancéiert gëtt mat Kommandoen wéi at.exe.
- Verdächteg lokal Grupp Operatiounen an Domain Operatiounen benotzt net.exe.
- Verdächteg Firewall Aktivitéit benotzt netsh.exe.
- Verdächteg Manipulatioun vum ACL.
- Benotzt BITS fir Datenexfiltratioun.
- Verdächteg Manipulatioune mat WMI.
- Verdächteg Schrëft Kommandoen.
- Versich sécher Systemdateien ze dumpen.
Déi kombinéiert Regel funktionnéiert ganz gutt fir Gefore wéi RUYK, LockerGoga an aner Ransomware, Malware a Cyberkriminalitéit Toolkits z'entdecken. D'Regel gouf vum Verkeefer a Produktiounsëmfeld getest fir falsch Positiver ze minimiséieren. An dank dem SIGMA-Projet produzéieren déi meescht vun dësen Indikatoren eng minimal Zuel vu Geräischerevenementer.
Well An InTrust ass dëst eng Iwwerwaachungsregel, Dir kënnt en Äntwertskript als Reaktioun op eng Bedrohung ausféieren. Dir kënnt ee vun den agebaute Skripte benotzen oder Äert eegent erstellen an InTrust verdeelt se automatesch.
Zousätzlech, kënnt Dir all Event-Zesummenhang Telemetrie iwwerpréiwen: PowerShell Scripten, Prozess Ausféierung, geplangte Aufgab Manipulatiounen, WMI administrativ Aktivitéit, a benotzen se fir Post-mortems während Sécherheet Tëschefäll.
InTrust huet Honnerte vun anere Regelen, e puer vun hinnen:
- En PowerShell Downgrade Attack z'entdecken ass wann iergendeen bewosst eng méi al Versioun vu PowerShell benotzt well ... an der eeler Versioun gouf et kee Wee fir ze kontrolléieren wat geschitt ass.
- Héich-Privileg Login Detektioun ass wann Konten déi Member vun enger bestëmmter privilegiéierter Grupp sinn (wéi Domain Administrateuren) sech per Accident oder wéinst Sécherheetsvirfäll op Aarbechtsstatiounen umellen.
InTrust erlaabt Iech déi bescht Sécherheetspraktiken a Form vu virdefinéierten Detektiouns- a Reaktiounsregelen ze benotzen. A wann Dir mengt datt eppes anescht soll funktionnéieren, kënnt Dir Är eege Kopie vun der Regel maachen an se konfiguréieren wéi néideg. Dir kënnt eng Demande ofginn fir e Pilot ze maachen oder Verdeelungskits mat temporäre Lizenzen ze kréien duerch
Abonnéiert Iech op eis
Liest eis aner Artikelen iwwer Informatiounssécherheet:
Source: will.com