Mēs iespējojam notikumu apkopošanu par aizdomīgu procesu palaišanu sistēmā Windows un identificējam draudus, izmantojot Quest InTrust

Viens no visizplatītākajiem uzbrukumu veidiem ir ļaunprātīga procesa nārsts kokā saskaņā ar pilnīgi cienījamiem procesiem. Ceļš uz izpildāmo failu var būt aizdomīgs: ļaunprātīga programmatūra bieži izmanto mapes AppData vai Temp, un tas nav raksturīgi likumīgām programmām. Taisnības labad jāsaka, ka dažas automātiskās atjaunināšanas utilītas tiek izpildītas programmā AppData, tāpēc ar palaišanas vietas pārbaudi vien nepietiek, lai apstiprinātu, ka programma ir ļaunprātīga.

Papildu leģitimitātes faktors ir kriptogrāfiskais paraksts: daudzas oriģinālās programmas ir parakstījis pārdevējs. Varat izmantot to, ka nav paraksta, kā metodi aizdomīgu startēšanas vienumu identificēšanai. Bet atkal ir ļaunprātīga programmatūra, kas izmanto nozagtu sertifikātu, lai parakstītu sevi.

Varat arī pārbaudīt MD5 vai SHA256 kriptogrāfisko jaucēju vērtību, kas var atbilst kādai iepriekš atklātai ļaunprātīgai programmatūrai. Varat veikt statisko analīzi, apskatot parakstus programmā (izmantojot Yara noteikumus vai pretvīrusu produktus). Ir arī dinamiskā analīze (programmas palaišana drošā vidē un tās darbību uzraudzība) un reversā inženierija.

Var būt daudzas ļaunprātīga procesa pazīmes. Šajā rakstā mēs jums pateiksim, kā iespējot attiecīgo notikumu auditēšanu sistēmā Windows, mēs analizēsim pazīmes, uz kurām balstās iebūvētais noteikums. Uzticība lai identificētu aizdomīgu procesu. Uzticība ir CLM platforma nestrukturētu datu apkopošanai, analīzei un glabāšanai, kam jau ir simtiem iepriekš noteiktu reakciju uz dažāda veida uzbrukumiem.

Kad programma tiek palaista, tā tiek ielādēta datora atmiņā. Izpildāmajā failā ir datora instrukcijas un atbalsta bibliotēkas (piemēram, *.dll). Kad process jau darbojas, tas var izveidot papildu pavedienus. Pavedieni ļauj procesam vienlaikus izpildīt dažādas instrukciju kopas. Ļaunprātīgajam kodam ir daudz veidu, kā iekļūt atmiņā un palaist, apskatīsim dažus no tiem.

Vienkāršākais veids, kā palaist ļaunprātīgu procesu, ir piespiest lietotāju to palaist tieši (piemēram, no e-pasta pielikuma), pēc tam izmantojiet taustiņu RunOnce, lai palaistu to katru reizi, kad dators tiek ieslēgts. Tas ietver arī “bez faila” ļaunprātīgu programmatūru, kas saglabā PowerShell skriptus reģistra atslēgās, kas tiek izpildītas, pamatojoties uz trigeri. Šajā gadījumā PowerShell skripts ir ļaunprātīgs kods.

Problēma ar nepārprotamu ļaunprātīgu programmatūru ir tā, ka tā ir zināma pieeja, ko var viegli noteikt. Dažas ļaunprātīgas programmatūras veic daudz gudrākas darbības, piemēram, izmanto citu procesu, lai sāktu izpildi atmiņā. Tāpēc process var izveidot citu procesu, palaižot noteiktu datora instrukciju un norādot izpildāmo failu (.exe), kas jāpalaiž.

Failu var norādīt, izmantojot pilnu ceļu (piemēram, C:Windowssystem32cmd.exe) vai daļēju ceļu (piemēram, cmd.exe). Ja sākotnējais process ir nedrošs, tas ļaus darboties neleģitīmām programmām. Uzbrukums var izskatīties šādi: process palaiž cmd.exe, nenorādot pilnu ceļu, uzbrucējs novieto savu cmd.exe vietā, lai process to palaistu pirms likumīgā. Kad ļaunprogrammatūra darbojas, tā savukārt var palaist likumīgu programmu (piemēram, C:Windowssystem32cmd.exe), lai sākotnējā programma turpinātu pareizi darboties.

Iepriekšējā uzbrukuma variants ir DLL ievadīšana likumīgā procesā. Kad process sākas, tas atrod un ielādē bibliotēkas, kas paplašina tā funkcionalitāti. Izmantojot DLL injekciju, uzbrucējs izveido ļaunprātīgu bibliotēku ar tādu pašu nosaukumu un API kā likumīgai. Programma ielādē ļaunprātīgu bibliotēku, un tā, savukārt, ielādē likumīgu bibliotēku un, ja nepieciešams, izsauc to, lai veiktu darbības. Ļaunprātīgā bibliotēka sāk darboties kā labas bibliotēkas starpniekserveris.

Vēl viens veids, kā ļaunprātīgu kodu ievietot atmiņā, ir ievietot to nedrošā procesā, kas jau darbojas. Procesi saņem ievadi no dažādiem avotiem – nolasīšanu no tīkla vai failiem. Viņi parasti veic pārbaudi, lai pārliecinātos, ka ievade ir likumīga. Bet dažiem procesiem, izpildot instrukcijas, nav atbilstošas ​​aizsardzības. Šajā uzbrukumā diskā nav bibliotēkas vai izpildāmā faila, kas satur ļaunprātīgu kodu. Viss tiek saglabāts atmiņā kopā ar izmantoto procesu.

Tagad apskatīsim metodiku, kā iespējot šādu notikumu apkopošanu sistēmā Windows, un InTrust noteikumu, kas ievieš aizsardzību pret šādiem draudiem. Vispirms aktivizēsim to, izmantojot InTrust pārvaldības konsoli.

Noteikums izmanto Windows OS procesa izsekošanas iespējas. Diemžēl šādu notikumu apkopošanas iespējošana nebūt nav acīmredzama. Ir jāmaina 3 dažādi grupas politikas iestatījumi:

Datora konfigurācija > Politikas > Windows iestatījumi > Drošības iestatījumi > Vietējās politikas > Audita politika > Audita procesa izsekošana

Datora konfigurācija > Politikas > Windows iestatījumi > Drošības iestatījumi > Papildu audita politikas konfigurācija > Audita politikas > Detalizēta izsekošana > Audita procesa izveide

Datora konfigurācija > Politikas > Administratīvās veidnes > Sistēma > Audita procesa izveide > Iekļaut komandrindu procesa izveides notikumos

Kad InTrust kārtulas ir iespējotas, tās ļauj noteikt iepriekš nezināmus draudus, kas izrāda aizdomīgu darbību. Piemēram, jūs varat identificēt šeit aprakstīts Dridex ļaunprātīga programmatūra. Pateicoties HP Bromium projektam, mēs zinām, kā šie draudi darbojas.

Savā darbību ķēdē Dridex izmanto schtasks.exe, lai izveidotu ieplānotu uzdevumu. Šīs konkrētās utilītas izmantošana no komandrindas tiek uzskatīta par ļoti aizdomīgu rīcību; svchost.exe palaišana ar parametriem, kas norāda uz lietotāja mapēm, vai ar parametriem, kas ir līdzīgi komandām “net view” vai “whoami”, izskatās līdzīgi. Šeit ir fragments no atbilstošā SIGMA noteikumi:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust visas aizdomīgās darbības tiek iekļautas vienā noteikumā, jo lielākā daļa no šīm darbībām nav specifiskas konkrētam apdraudējumam, bet gan ir aizdomīgas kompleksā un 99% gadījumu tiek izmantotas ne gluži cēliem mērķiem. Šis darbību saraksts ietver, bet ne tikai:

• Procesi, kas darbojas no neparastām vietām, piemēram, lietotāja pagaidu mapēm.
• Labi zināms sistēmas process ar aizdomīgu mantojumu — daži draudi var mēģināt izmantot sistēmas procesu nosaukumus, lai tie paliktu neatklāti.
• Aizdomīgas administratīvo rīku, piemēram, cmd vai PsExec, izpildes, ja tiek izmantoti lokālās sistēmas akreditācijas dati vai aizdomīgs mantojums.
• Aizdomīgas ēnu kopēšanas darbības ir izplatīta izspiedējvīrusu darbība pirms sistēmas šifrēšanas; tās nogalina dublējumus:

  — izmantojot vssadmin.exe;
  - Izmantojot WMI.

• Reģistrējiet visa reģistra stropu izgāztuves.
• Ļaunprātīga koda horizontāla pārvietošana, kad process tiek palaists attālināti, izmantojot komandas, piemēram, at.exe.
• Aizdomīgas lokālās grupas darbības un domēna darbības, izmantojot net.exe.
• Aizdomīga ugunsmūra darbība, izmantojot netsh.exe.
• Aizdomīgas manipulācijas ar ACL.
• BITS izmantošana datu eksfiltrācijai.
• Aizdomīgas manipulācijas ar WMI.
• Aizdomīgas skripta komandas.
• Mēģinājumi izmest drošus sistēmas failus.

Kombinētais noteikums darbojas ļoti labi, lai atklātu tādus draudus kā RUYK, LockerGoga un citas izspiedējprogrammatūras, ļaunprātīgas programmatūras un kibernoziedzības rīku komplekti. Pārdevējs ir pārbaudījis kārtulu ražošanas vidēs, lai samazinātu viltus pozitīvus rezultātus. Pateicoties SIGMA projektam, lielākā daļa no šiem rādītājiem rada minimālu trokšņa notikumu skaitu.

Jo Programmā InTrust tas ir uzraudzības noteikums, jūs varat izpildīt atbildes skriptu kā reakciju uz draudiem. Varat izmantot kādu no iebūvētajiem skriptiem vai izveidot savu, un InTrust to automātiski izplatīs.

Turklāt varat pārbaudīt visu ar notikumiem saistīto telemetriju: PowerShell skriptus, procesa izpildi, plānoto uzdevumu manipulācijas, WMI administratīvās darbības un izmantot tos pēcnāves drošības incidentiem.

InTrust ir simtiem citu noteikumu, daži no tiem:

• PowerShell pazemināšanas uzbrukums tiek atklāts tad, kad kāds apzināti izmanto vecāku PowerShell versiju, jo... vecākā versijā nebija iespējas pārbaudīt, kas notiek.
• Augstu privilēģiju pieteikšanās noteikšana ir tad, kad konti, kas ir noteiktas priviliģētas grupas dalībnieki (piemēram, domēna administratori), piesakās darbstacijās nejauši vai drošības incidentu dēļ.

InTrust ļauj izmantot labāko drošības praksi iepriekš noteiktu noteikšanas un atbildes noteikumu veidā. Un, ja uzskatāt, ka kaut kam vajadzētu darboties citādi, varat izveidot savu kārtulas kopiju un konfigurēt to pēc vajadzības. Jūs varat iesniegt pieteikumu izmēģinājuma veikšanai vai izplatīšanas komplektu iegūšanai ar pagaidu licencēm caur atsauksmes formu mūsu mājas lapā.

Abonējiet mūsu Facebook lapa, mēs tur publicējam īsas piezīmes un interesantas saites.

Izlasiet citus mūsu rakstus par informācijas drošību:

Kā InTrust var palīdzēt samazināt neveiksmīgo autorizācijas mēģinājumu skaitu, izmantojot RDP

Mēs atklājam izspiedējvīrusa uzbrukumu, iegūstam piekļuvi domēna kontrollerim un cenšamies pretoties šiem uzbrukumiem

Kādas noderīgas lietas var iegūt no Windows darbstacijas žurnāliem? (populārs raksts)

Lietotāju dzīves cikla izsekošana bez knaiblēm vai līmlentes

Kas to izdarīja? Mēs automatizējam informācijas drošības auditus

Kā samazināt SIEM sistēmas īpašumtiesību izmaksas un kāpēc jums ir nepieciešama centrālā žurnālu pārvaldība (CLM)

Avots: www.habr.com