Viens no visizplatÄ«tÄkajiem uzbrukumu veidiem ir ļaunprÄtÄ«ga procesa nÄrsts kokÄ saskaÅÄ ar pilnÄ«gi cienÄ«jamiem procesiem. CeļŔ uz izpildÄmo failu var bÅ«t aizdomÄ«gs: ļaunprÄtÄ«ga programmatÅ«ra bieži izmanto mapes AppData vai Temp, un tas nav raksturÄ«gi likumÄ«gÄm programmÄm. TaisnÄ«bas labad jÄsaka, ka dažas automÄtiskÄs atjauninÄÅ”anas utilÄ«tas tiek izpildÄ«tas programmÄ AppData, tÄpÄc ar palaiÅ”anas vietas pÄrbaudi vien nepietiek, lai apstiprinÄtu, ka programma ir ļaunprÄtÄ«ga.
Papildu leÄ£itimitÄtes faktors ir kriptogrÄfiskais paraksts: daudzas oriÄ£inÄlÄs programmas ir parakstÄ«jis pÄrdevÄjs. Varat izmantot to, ka nav paraksta, kÄ metodi aizdomÄ«gu startÄÅ”anas vienumu identificÄÅ”anai. Bet atkal ir ļaunprÄtÄ«ga programmatÅ«ra, kas izmanto nozagtu sertifikÄtu, lai parakstÄ«tu sevi.
Varat arÄ« pÄrbaudÄ«t MD5 vai SHA256 kriptogrÄfisko jaucÄju vÄrtÄ«bu, kas var atbilst kÄdai iepriekÅ” atklÄtai ļaunprÄtÄ«gai programmatÅ«rai. Varat veikt statisko analÄ«zi, apskatot parakstus programmÄ (izmantojot Yara noteikumus vai pretvÄ«rusu produktus). Ir arÄ« dinamiskÄ analÄ«ze (programmas palaiÅ”ana droÅ”Ä vidÄ un tÄs darbÄ«bu uzraudzÄ«ba) un reversÄ inženierija.
Var bÅ«t daudzas ļaunprÄtÄ«ga procesa pazÄ«mes. Å ajÄ rakstÄ mÄs jums pateiksim, kÄ iespÄjot attiecÄ«go notikumu auditÄÅ”anu sistÄmÄ Windows, mÄs analizÄsim pazÄ«mes, uz kurÄm balstÄs iebÅ«vÄtais noteikums.
Kad programma tiek palaista, tÄ tiek ielÄdÄta datora atmiÅÄ. IzpildÄmajÄ failÄ ir datora instrukcijas un atbalsta bibliotÄkas (piemÄram, *.dll). Kad process jau darbojas, tas var izveidot papildu pavedienus. Pavedieni ļauj procesam vienlaikus izpildÄ«t dažÄdas instrukciju kopas. Ä»aunprÄtÄ«gajam kodam ir daudz veidu, kÄ iekļūt atmiÅÄ un palaist, apskatÄ«sim dažus no tiem.
VienkÄrÅ”Äkais veids, kÄ palaist ļaunprÄtÄ«gu procesu, ir piespiest lietotÄju to palaist tieÅ”i (piemÄram, no e-pasta pielikuma), pÄc tam izmantojiet taustiÅu RunOnce, lai palaistu to katru reizi, kad dators tiek ieslÄgts. Tas ietver arÄ« ābez failaā ļaunprÄtÄ«gu programmatÅ«ru, kas saglabÄ PowerShell skriptus reÄ£istra atslÄgÄs, kas tiek izpildÄ«tas, pamatojoties uz trigeri. Å ajÄ gadÄ«jumÄ PowerShell skripts ir ļaunprÄtÄ«gs kods.
ProblÄma ar nepÄrprotamu ļaunprÄtÄ«gu programmatÅ«ru ir tÄ, ka tÄ ir zinÄma pieeja, ko var viegli noteikt. Dažas ļaunprÄtÄ«gas programmatÅ«ras veic daudz gudrÄkas darbÄ«bas, piemÄram, izmanto citu procesu, lai sÄktu izpildi atmiÅÄ. TÄpÄc process var izveidot citu procesu, palaižot noteiktu datora instrukciju un norÄdot izpildÄmo failu (.exe), kas jÄpalaiž.
Failu var norÄdÄ«t, izmantojot pilnu ceļu (piemÄram, C:Windowssystem32cmd.exe) vai daļÄju ceļu (piemÄram, cmd.exe). Ja sÄkotnÄjais process ir nedroÅ”s, tas ļaus darboties neleÄ£itÄ«mÄm programmÄm. Uzbrukums var izskatÄ«ties Å”Ädi: process palaiž cmd.exe, nenorÄdot pilnu ceļu, uzbrucÄjs novieto savu cmd.exe vietÄ, lai process to palaistu pirms likumÄ«gÄ. Kad ļaunprogrammatÅ«ra darbojas, tÄ savukÄrt var palaist likumÄ«gu programmu (piemÄram, C:Windowssystem32cmd.exe), lai sÄkotnÄjÄ programma turpinÄtu pareizi darboties.
IepriekÅ”ÄjÄ uzbrukuma variants ir DLL ievadÄ«Å”ana likumÄ«gÄ procesÄ. Kad process sÄkas, tas atrod un ielÄdÄ bibliotÄkas, kas paplaÅ”ina tÄ funkcionalitÄti. Izmantojot DLL injekciju, uzbrucÄjs izveido ļaunprÄtÄ«gu bibliotÄku ar tÄdu paÅ”u nosaukumu un API kÄ likumÄ«gai. Programma ielÄdÄ Ä¼aunprÄtÄ«gu bibliotÄku, un tÄ, savukÄrt, ielÄdÄ likumÄ«gu bibliotÄku un, ja nepiecieÅ”ams, izsauc to, lai veiktu darbÄ«bas. Ä»aunprÄtÄ«gÄ bibliotÄka sÄk darboties kÄ labas bibliotÄkas starpniekserveris.
VÄl viens veids, kÄ Ä¼aunprÄtÄ«gu kodu ievietot atmiÅÄ, ir ievietot to nedroÅ”Ä procesÄ, kas jau darbojas. Procesi saÅem ievadi no dažÄdiem avotiem ā nolasÄ«Å”anu no tÄ«kla vai failiem. ViÅi parasti veic pÄrbaudi, lai pÄrliecinÄtos, ka ievade ir likumÄ«ga. Bet dažiem procesiem, izpildot instrukcijas, nav atbilstoÅ”as āāaizsardzÄ«bas. Å ajÄ uzbrukumÄ diskÄ nav bibliotÄkas vai izpildÄmÄ faila, kas satur ļaunprÄtÄ«gu kodu. Viss tiek saglabÄts atmiÅÄ kopÄ ar izmantoto procesu.
Tagad apskatÄ«sim metodiku, kÄ iespÄjot Å”Ädu notikumu apkopoÅ”anu sistÄmÄ Windows, un InTrust noteikumu, kas ievieÅ” aizsardzÄ«bu pret Å”Ädiem draudiem. Vispirms aktivizÄsim to, izmantojot InTrust pÄrvaldÄ«bas konsoli.
Noteikums izmanto Windows OS procesa izsekoÅ”anas iespÄjas. DiemžÄl Å”Ädu notikumu apkopoÅ”anas iespÄjoÅ”ana nebÅ«t nav acÄ«mredzama. Ir jÄmaina 3 dažÄdi grupas politikas iestatÄ«jumi:
Datora konfigurÄcija > Politikas > Windows iestatÄ«jumi > DroŔības iestatÄ«jumi > VietÄjÄs politikas > Audita politika > Audita procesa izsekoÅ”ana
Datora konfigurÄcija > Politikas > Windows iestatÄ«jumi > DroŔības iestatÄ«jumi > Papildu audita politikas konfigurÄcija > Audita politikas > DetalizÄta izsekoÅ”ana > Audita procesa izveide
Datora konfigurÄcija > Politikas > AdministratÄ«vÄs veidnes > SistÄma > Audita procesa izveide > Iekļaut komandrindu procesa izveides notikumos
Kad InTrust kÄrtulas ir iespÄjotas, tÄs ļauj noteikt iepriekÅ” nezinÄmus draudus, kas izrÄda aizdomÄ«gu darbÄ«bu. PiemÄram, jÅ«s varat identificÄt
SavÄ darbÄ«bu Ä·ÄdÄ Dridex izmanto schtasks.exe, lai izveidotu ieplÄnotu uzdevumu. Å Ä«s konkrÄtÄs utilÄ«tas izmantoÅ”ana no komandrindas tiek uzskatÄ«ta par ļoti aizdomÄ«gu rÄ«cÄ«bu; svchost.exe palaiÅ”ana ar parametriem, kas norÄda uz lietotÄja mapÄm, vai ar parametriem, kas ir lÄ«dzÄ«gi komandÄm ānet viewā vai āwhoamiā, izskatÄs lÄ«dzÄ«gi. Å eit ir fragments no atbilstoÅ”Ä
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
InTrust visas aizdomÄ«gÄs darbÄ«bas tiek iekļautas vienÄ noteikumÄ, jo lielÄkÄ daļa no Ŕīm darbÄ«bÄm nav specifiskas konkrÄtam apdraudÄjumam, bet gan ir aizdomÄ«gas kompleksÄ un 99% gadÄ«jumu tiek izmantotas ne gluži cÄliem mÄrÄ·iem. Å is darbÄ«bu saraksts ietver, bet ne tikai:
- Procesi, kas darbojas no neparastÄm vietÄm, piemÄram, lietotÄja pagaidu mapÄm.
- Labi zinÄms sistÄmas process ar aizdomÄ«gu mantojumu ā daži draudi var mÄÄ£inÄt izmantot sistÄmas procesu nosaukumus, lai tie paliktu neatklÄti.
- AizdomÄ«gas administratÄ«vo rÄ«ku, piemÄram, cmd vai PsExec, izpildes, ja tiek izmantoti lokÄlÄs sistÄmas akreditÄcijas dati vai aizdomÄ«gs mantojums.
- AizdomÄ«gas Änu kopÄÅ”anas darbÄ«bas ir izplatÄ«ta izspiedÄjvÄ«rusu darbÄ«ba pirms sistÄmas Å”ifrÄÅ”anas; tÄs nogalina dublÄjumus:
ā izmantojot vssadmin.exe;
- Izmantojot WMI. - ReÄ£istrÄjiet visa reÄ£istra stropu izgÄztuves.
- Ä»aunprÄtÄ«ga koda horizontÄla pÄrvietoÅ”ana, kad process tiek palaists attÄlinÄti, izmantojot komandas, piemÄram, at.exe.
- AizdomÄ«gas lokÄlÄs grupas darbÄ«bas un domÄna darbÄ«bas, izmantojot net.exe.
- Aizdomīga ugunsmūra darbība, izmantojot netsh.exe.
- AizdomÄ«gas manipulÄcijas ar ACL.
- BITS izmantoÅ”ana datu eksfiltrÄcijai.
- AizdomÄ«gas manipulÄcijas ar WMI.
- Aizdomīgas skripta komandas.
- MÄÄ£inÄjumi izmest droÅ”us sistÄmas failus.
KombinÄtais noteikums darbojas ļoti labi, lai atklÄtu tÄdus draudus kÄ RUYK, LockerGoga un citas izspiedÄjprogrammatÅ«ras, ļaunprÄtÄ«gas programmatÅ«ras un kibernoziedzÄ«bas rÄ«ku komplekti. PÄrdevÄjs ir pÄrbaudÄ«jis kÄrtulu ražoÅ”anas vidÄs, lai samazinÄtu viltus pozitÄ«vus rezultÄtus. Pateicoties SIGMA projektam, lielÄkÄ daļa no Å”iem rÄdÄ«tÄjiem rada minimÄlu trokÅ”Åa notikumu skaitu.
Jo ProgrammÄ InTrust tas ir uzraudzÄ«bas noteikums, jÅ«s varat izpildÄ«t atbildes skriptu kÄ reakciju uz draudiem. Varat izmantot kÄdu no iebÅ«vÄtajiem skriptiem vai izveidot savu, un InTrust to automÄtiski izplatÄ«s.
TurklÄt varat pÄrbaudÄ«t visu ar notikumiem saistÄ«to telemetriju: PowerShell skriptus, procesa izpildi, plÄnoto uzdevumu manipulÄcijas, WMI administratÄ«vÄs darbÄ«bas un izmantot tos pÄcnÄves droŔības incidentiem.
InTrust ir simtiem citu noteikumu, daži no tiem:
- PowerShell pazeminÄÅ”anas uzbrukums tiek atklÄts tad, kad kÄds apzinÄti izmanto vecÄku PowerShell versiju, jo... vecÄkÄ versijÄ nebija iespÄjas pÄrbaudÄ«t, kas notiek.
- Augstu privilÄÄ£iju pieteikÅ”anÄs noteikÅ”ana ir tad, kad konti, kas ir noteiktas priviliÄ£Ätas grupas dalÄ«bnieki (piemÄram, domÄna administratori), piesakÄs darbstacijÄs nejauÅ”i vai droŔības incidentu dÄļ.
InTrust ļauj izmantot labÄko droŔības praksi iepriekÅ” noteiktu noteikÅ”anas un atbildes noteikumu veidÄ. Un, ja uzskatÄt, ka kaut kam vajadzÄtu darboties citÄdi, varat izveidot savu kÄrtulas kopiju un konfigurÄt to pÄc vajadzÄ«bas. JÅ«s varat iesniegt pieteikumu izmÄÄ£inÄjuma veikÅ”anai vai izplatÄ«Å”anas komplektu iegÅ«Å”anai ar pagaidu licencÄm caur
AbonÄjiet mÅ«su
Izlasiet citus mÅ«su rakstus par informÄcijas droŔību:
Avots: www.habr.com