Salah satu jenis serangan yang paling biasa ialah pemijahan proses berniat jahat dalam pokok di bawah proses yang dihormati sepenuhnya. Laluan ke fail boleh laku mungkin mencurigakan: perisian hasad sering menggunakan folder AppData atau Temp, dan ini bukan tipikal untuk program yang sah. Untuk bersikap adil, patut dikatakan bahawa beberapa utiliti kemas kini automatik dilaksanakan dalam AppData, jadi hanya menyemak lokasi pelancaran tidak mencukupi untuk mengesahkan bahawa program itu berniat jahat.
Faktor tambahan kesahihan ialah tandatangan kriptografi: banyak program asal ditandatangani oleh vendor. Anda boleh menggunakan fakta bahawa tiada tandatangan sebagai kaedah untuk mengenal pasti item permulaan yang mencurigakan. Tetapi sekali lagi terdapat perisian hasad yang menggunakan sijil yang dicuri untuk menandatangani sendiri.
Anda juga boleh menyemak nilai cincangan kriptografi MD5 atau SHA256, yang mungkin sepadan dengan beberapa perisian hasad yang dikesan sebelum ini. Anda boleh melakukan analisis statik dengan melihat tandatangan dalam program (menggunakan peraturan Yara atau produk antivirus). Terdapat juga analisis dinamik (menjalankan program dalam beberapa persekitaran yang selamat dan memantau tindakannya) dan kejuruteraan terbalik.
Terdapat banyak tanda-tanda proses berniat jahat. Dalam artikel ini, kami akan memberitahu anda cara mendayakan pengauditan acara yang berkaitan dalam Windows, kami akan menganalisis tanda-tanda yang bergantung pada peraturan terbina dalam. untuk mengenal pasti proses yang mencurigakan. InTrust ialah untuk mengumpul, menganalisis dan menyimpan data tidak berstruktur, yang sudah mempunyai ratusan tindak balas yang dipratentukan kepada pelbagai jenis serangan.
Apabila program dilancarkan, ia dimuatkan ke dalam memori komputer. Fail boleh laku mengandungi arahan komputer dan perpustakaan sokongan (contohnya, *.dll). Apabila proses sudah berjalan, ia boleh mencipta benang tambahan. Benang membenarkan proses untuk melaksanakan set arahan yang berbeza secara serentak. Terdapat banyak cara untuk kod berniat jahat untuk menembusi memori dan dijalankan, mari lihat beberapa daripadanya.
Cara paling mudah untuk melancarkan proses berniat jahat adalah dengan memaksa pengguna melancarkannya secara langsung (contohnya, daripada lampiran e-mel), kemudian gunakan kekunci RunOnce untuk melancarkannya setiap kali komputer dihidupkan. Ini juga termasuk perisian hasad "tanpa fail" yang menyimpan skrip PowerShell dalam kunci pendaftaran yang dilaksanakan berdasarkan pencetus. Dalam kes ini, skrip PowerShell ialah kod berniat jahat.
Masalah dengan menjalankan perisian hasad secara eksplisit ialah ia merupakan pendekatan yang diketahui yang mudah dikesan. Sesetengah perisian hasad melakukan perkara yang lebih bijak, seperti menggunakan proses lain untuk mula melaksanakan dalam ingatan. Oleh itu, proses boleh mencipta proses lain dengan menjalankan arahan komputer tertentu dan menentukan fail boleh laku (.exe) untuk dijalankan.
Fail boleh ditentukan menggunakan laluan penuh (contohnya, C:Windowssystem32cmd.exe) atau laluan separa (contohnya, cmd.exe). Jika proses asal tidak selamat, ia akan membenarkan program yang tidak sah dijalankan. Serangan boleh kelihatan seperti ini: proses melancarkan cmd.exe tanpa menyatakan laluan penuh, penyerang meletakkan cmd.exenya di tempat supaya proses melancarkannya sebelum yang sah. Setelah perisian hasad berjalan, ia seterusnya boleh melancarkan program yang sah (seperti C:Windowssystem32cmd.exe) supaya atur cara asal terus berfungsi dengan betul.
Satu variasi serangan sebelumnya ialah suntikan DLL ke dalam proses yang sah. Apabila proses bermula, ia mencari dan memuatkan perpustakaan yang memanjangkan fungsinya. Menggunakan suntikan DLL, penyerang mencipta pustaka berniat jahat dengan nama dan API yang sama sebagai perpustakaan yang sah. Program ini memuatkan perpustakaan berniat jahat, dan ia, seterusnya, memuatkan perpustakaan yang sah, dan, jika perlu, memanggilnya untuk melaksanakan operasi. Perpustakaan berniat jahat mula bertindak sebagai proksi untuk perpustakaan yang baik.
Satu lagi cara untuk meletakkan kod berniat jahat ke dalam ingatan ialah memasukkannya ke dalam proses yang tidak selamat yang sedang berjalan. Proses menerima input daripada pelbagai sumber - membaca daripada rangkaian atau fail. Mereka biasanya melakukan semakan untuk memastikan bahawa input adalah sah. Tetapi sesetengah proses tidak mempunyai perlindungan yang betul semasa melaksanakan arahan. Dalam serangan ini, tiada pustaka pada cakera atau fail boleh laku yang mengandungi kod hasad. Semuanya disimpan dalam ingatan bersama-sama dengan proses yang dieksploitasi.
Sekarang mari kita lihat metodologi untuk membolehkan pengumpulan peristiwa sedemikian dalam Windows dan peraturan dalam InTrust yang melaksanakan perlindungan terhadap ancaman tersebut. Mula-mula, mari aktifkan melalui konsol pengurusan InTrust.
Peraturan ini menggunakan keupayaan penjejakan proses Windows OS. Malangnya, mendayakan pengumpulan acara sedemikian adalah jauh dari jelas. Terdapat 3 tetapan Dasar Kumpulan berbeza yang perlu anda ubah:
Konfigurasi Komputer > Dasar > Tetapan Windows > Tetapan Keselamatan > Dasar Setempat > Dasar Audit > Penjejakan proses audit
Konfigurasi Komputer > Dasar > Tetapan Windows > Tetapan Keselamatan > Konfigurasi Dasar Audit Lanjutan > Dasar Audit > Penjejakan Terperinci > Penciptaan proses audit
Konfigurasi Komputer > Dasar > Templat Pentadbiran > Sistem > Penciptaan Proses Audit > Sertakan baris arahan dalam peristiwa penciptaan proses
Setelah didayakan, peraturan InTrust membenarkan anda mengesan ancaman yang tidak diketahui sebelum ini yang menunjukkan tingkah laku yang mencurigakan. Sebagai contoh, anda boleh mengenal pasti malware Dridex. Terima kasih kepada projek HP Bromium, kami tahu cara ancaman ini berfungsi.
Dalam rangkaian tindakannya, Dridex menggunakan schtasks.exe untuk membuat tugasan yang dijadualkan. Menggunakan utiliti tertentu dari baris arahan ini dianggap tingkah laku yang sangat mencurigakan; melancarkan svchost.exe dengan parameter yang menghala ke folder pengguna atau dengan parameter yang serupa dengan arahan "pandangan bersih" atau "whoami" kelihatan serupa. Berikut adalah serpihan yang sepadan :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themDalam InTrust, semua tingkah laku yang mencurigakan disertakan dalam satu peraturan, kerana kebanyakan tindakan ini tidak khusus untuk ancaman tertentu, sebaliknya mencurigakan dalam kompleks dan dalam 99% kes digunakan untuk tujuan yang bukan sepenuhnya mulia. Senarai tindakan ini termasuk, tetapi tidak terhad kepada:
- Proses berjalan dari lokasi luar biasa, seperti folder sementara pengguna.
- Proses sistem yang terkenal dengan warisan yang mencurigakan - beberapa ancaman mungkin cuba menggunakan nama proses sistem untuk kekal tidak dapat dikesan.
- Pelaksanaan alat pentadbiran yang mencurigakan seperti cmd atau PsExec apabila mereka menggunakan bukti kelayakan sistem setempat atau warisan yang mencurigakan.
- Operasi salinan bayangan yang mencurigakan ialah tingkah laku biasa virus ransomware sebelum menyulitkan sistem; ia membunuh sandaran:
β Melalui vssadmin.exe;
- Melalui WMI. - Daftar pembuangan seluruh sarang pendaftaran.
- Pergerakan mendatar kod berniat jahat apabila proses dilancarkan dari jauh menggunakan arahan seperti at.exe.
- Operasi kumpulan tempatan yang mencurigakan dan operasi domain menggunakan net.exe.
- Aktiviti tembok api yang mencurigakan menggunakan netsh.exe.
- Manipulasi ACL yang mencurigakan.
- Menggunakan BITS untuk exfiltration data.
- Manipulasi yang mencurigakan dengan WMI.
- Perintah skrip yang mencurigakan.
- Percubaan untuk membuang fail sistem selamat.
Peraturan gabungan ini berfungsi dengan baik untuk mengesan ancaman seperti RUYK, LockerGoga dan perisian tebusan lain, perisian hasad dan kit alat jenayah siber. Peraturan telah diuji oleh vendor dalam persekitaran pengeluaran untuk meminimumkan positif palsu. Dan terima kasih kepada projek SIGMA, kebanyakan penunjuk ini menghasilkan bilangan peristiwa hingar yang minimum.
Kerana Dalam InTrust ini ialah peraturan pemantauan, anda boleh melaksanakan skrip respons sebagai tindak balas kepada ancaman. Anda boleh menggunakan salah satu skrip terbina dalam atau mencipta sendiri dan InTrust akan mengedarkannya secara automatik.
Selain itu, anda boleh memeriksa semua telemetri berkaitan peristiwa: skrip PowerShell, pelaksanaan proses, manipulasi tugas berjadual, aktiviti pentadbiran WMI dan menggunakannya untuk bedah siasat semasa insiden keselamatan.
InTrust mempunyai ratusan peraturan lain, beberapa daripadanya:
- Mengesan serangan penurunan taraf PowerShell ialah apabila seseorang sengaja menggunakan versi PowerShell yang lebih lama kerana... dalam versi yang lebih lama tidak ada cara untuk mengaudit perkara yang berlaku.
- Pengesanan log masuk keistimewaan tinggi ialah apabila akaun yang merupakan ahli kumpulan istimewa tertentu (seperti pentadbir domain) log masuk ke stesen kerja secara tidak sengaja atau disebabkan insiden keselamatan.
InTrust membolehkan anda menggunakan amalan keselamatan terbaik dalam bentuk peraturan pengesanan dan tindak balas yang dipratentukan. Dan jika anda berpendapat bahawa sesuatu harus berfungsi secara berbeza, anda boleh membuat salinan peraturan anda sendiri dan mengkonfigurasinya mengikut keperluan. Anda boleh mengemukakan permohonan untuk menjalankan juruterbang atau mendapatkan kit pengedaran dengan lesen sementara melalui di laman web kami.
Langgan kami , kami menerbitkan nota ringkas dan pautan menarik di sana.
Baca artikel kami yang lain tentang keselamatan maklumat:
(artikel popular)
Sumber: www.habr.com