Een van de meest voorkomende soorten aanvallen is het voortbrengen van een kwaadaardig proces in een boom onder volledig respectabele processen. Het pad naar het uitvoerbare bestand kan verdacht zijn: malware gebruikt vaak de AppData- of Temp-mappen, en dit is niet typisch voor legitieme programma's. Om eerlijk te zijn is het de moeite waard om te zeggen dat sommige automatische updatehulpprogramma's in AppData worden uitgevoerd, dus alleen het controleren van de startlocatie is niet voldoende om te bevestigen dat het programma kwaadaardig is.
Een extra legitimiteitsfactor is een cryptografische handtekening: veel originele programma's zijn ondertekend door de leverancier. U kunt het feit dat er geen handtekening is gebruiken als methode om verdachte opstartitems te identificeren. Maar er is ook malware die een gestolen certificaat gebruikt om zichzelf te ondertekenen.
U kunt ook de waarde van MD5- of SHA256-cryptografische hashes controleren, die mogelijk overeenkomen met eerder gedetecteerde malware. U kunt statische analyses uitvoeren door naar handtekeningen in het programma te kijken (met behulp van Yara-regels of antivirusproducten). Er is ook sprake van dynamische analyse (een programma uitvoeren in een veilige omgeving en de acties ervan monitoren) en reverse engineering.
Er kunnen veel tekenen zijn van een kwaadaardig proces. In dit artikel zullen we u vertellen hoe u auditing van relevante gebeurtenissen in Windows kunt inschakelen. We zullen de signalen analyseren waarop de ingebouwde regel afhankelijk is om een verdacht proces te identificeren. InTrust is voor het verzamelen, analyseren en opslaan van ongestructureerde gegevens, die al honderden vooraf gedefinieerde reacties op verschillende soorten aanvallen kennen.
Wanneer het programma wordt gestart, wordt het in het geheugen van de computer geladen. Het uitvoerbare bestand bevat computerinstructies en ondersteunende bibliotheken (bijvoorbeeld *.dll). Wanneer een proces al actief is, kan het extra threads creëren. Met threads kan een proces verschillende sets instructies tegelijkertijd uitvoeren. Er zijn veel manieren waarop kwaadaardige code het geheugen kan binnendringen en kan worden uitgevoerd. Laten we er een paar bekijken.
De eenvoudigste manier om een kwaadaardig proces te starten is door de gebruiker te dwingen het rechtstreeks te starten (bijvoorbeeld vanuit een e-mailbijlage) en vervolgens de RunOnce-sleutel te gebruiken om het telkens te starten wanneer de computer wordt ingeschakeld. Dit omvat ook ‘bestandsloze’ malware die PowerShell-scripts opslaat in registersleutels die worden uitgevoerd op basis van een trigger. In dit geval is het PowerShell-script kwaadaardige code.
Het probleem met het expliciet uitvoeren van malware is dat het een bekende aanpak is die gemakkelijk kan worden gedetecteerd. Sommige malware doet slimmere dingen, zoals het gebruiken van een ander proces om de uitvoering in het geheugen te starten. Daarom kan een proces een ander proces creëren door een specifieke computerinstructie uit te voeren en een uitvoerbaar bestand (.exe) op te geven dat moet worden uitgevoerd.
Het bestand kan worden opgegeven met een volledig pad (bijvoorbeeld C:Windowssystem32cmd.exe) of een gedeeltelijk pad (bijvoorbeeld cmd.exe). Als het oorspronkelijke proces onveilig is, kunnen onwettige programma's worden uitgevoerd. Een aanval kan er als volgt uitzien: een proces start cmd.exe zonder het volledige pad op te geven, de aanvaller plaatst zijn cmd.exe op een plaats zodat het proces het vóór het legitieme pad start. Zodra de malware draait, kan deze op zijn beurt een legitiem programma starten (zoals C:Windowssystem32cmd.exe), zodat het oorspronkelijke programma goed blijft werken.
Een variatie op de vorige aanval is de injectie van DLL in een legitiem proces. Wanneer een proces start, worden bibliotheken gevonden en geladen die de functionaliteit ervan uitbreiden. Met behulp van DLL-injectie creëert een aanvaller een kwaadaardige bibliotheek met dezelfde naam en API als een legitieme bibliotheek. Het programma laadt een kwaadaardige bibliotheek en laadt op zijn beurt een legitieme bibliotheek, en roept deze indien nodig op om bewerkingen uit te voeren. De kwaadaardige bibliotheek begint te fungeren als proxy voor de goede bibliotheek.
Een andere manier om kwaadaardige code in het geheugen te plaatsen, is door deze in een onveilig proces te plaatsen dat al actief is. Processen ontvangen input uit verschillende bronnen: uit het netwerk of uit bestanden. Ze voeren doorgaans een controle uit om er zeker van te zijn dat de invoer legitiem is. Maar sommige processen hebben geen goede bescherming bij het uitvoeren van instructies. Bij deze aanval is er geen bibliotheek op schijf of uitvoerbaar bestand met kwaadaardige code. Alles wordt in het geheugen opgeslagen, samen met het proces dat wordt uitgebuit.
Laten we nu eens kijken naar de methodologie voor het mogelijk maken van het verzamelen van dergelijke gebeurtenissen in Windows en de regel in InTrust die bescherming tegen dergelijke bedreigingen implementeert. Laten we het eerst activeren via de InTrust-beheerconsole.
De regel maakt gebruik van de procestrackingmogelijkheden van Windows OS. Helaas is het verzamelen van dergelijke gebeurtenissen verre van vanzelfsprekend. Er zijn drie verschillende groepsbeleidsinstellingen die u moet wijzigen:
Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Auditbeleid > Auditproces volgen
Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van auditbeleid > Auditbeleid > Gedetailleerd volgen > Auditproces maken
Computerconfiguratie > Beleid > Beheersjablonen > Systeem > Auditproces maken > Opdrachtregel opnemen in gebeurtenissen voor het maken van processen
Eenmaal ingeschakeld, kunt u met de InTrust-regels voorheen onbekende bedreigingen detecteren die verdacht gedrag vertonen. Je kunt je bijvoorbeeld identificeren Dridex-malware. Dankzij het HP Bromium-project weten we hoe deze dreiging werkt.
In zijn reeks acties gebruikt Dridex schtasks.exe om een geplande taak te maken. Het gebruik van dit specifieke hulpprogramma vanaf de opdrachtregel wordt als zeer verdacht gedrag beschouwd; het starten van svchost.exe met parameters die naar gebruikersmappen verwijzen of met parameters die vergelijkbaar zijn met de opdrachten "net view" of "whoami" ziet er hetzelfde uit. Hier is een fragment van het overeenkomstige :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themIn InTrust is al het verdachte gedrag in één regel opgenomen, omdat de meeste van deze acties niet specifiek zijn voor een bepaalde dreiging, maar eerder verdacht zijn in een complex en in 99% van de gevallen worden gebruikt voor niet geheel nobele doeleinden. Deze lijst met acties omvat, maar is niet beperkt tot:
- Processen die worden uitgevoerd vanaf ongebruikelijke locaties, zoals tijdelijke mappen van gebruikers.
- Bekend systeemproces met verdachte overerving: sommige bedreigingen proberen mogelijk de naam van systeemprocessen te gebruiken om onopgemerkt te blijven.
- Verdachte uitvoeringen van beheertools zoals cmd of PsExec wanneer ze lokale systeemreferenties gebruiken of verdachte overname.
- Verdachte schaduwkopiebewerkingen zijn een veelvoorkomend gedrag van ransomware-virussen voordat ze een systeem coderen; ze doden back-ups:
— Via vssadmin.exe;
- Via WMI. - Registerdumps van volledige registerbijenkorven.
- Horizontale verplaatsing van kwaadaardige code wanneer een proces op afstand wordt gestart met behulp van opdrachten zoals at.exe.
- Verdachte lokale groepsbewerkingen en domeinbewerkingen met behulp van net.exe.
- Verdachte firewallactiviteit bij gebruik van netsh.exe.
- Verdachte manipulatie van de ACL.
- BITS gebruiken voor data-exfiltratie.
- Verdachte manipulaties met WMI.
- Verdachte scriptopdrachten.
- Pogingen om beveiligde systeembestanden te dumpen.
De gecombineerde regel werkt heel goed om bedreigingen zoals RUYK, LockerGoga en andere ransomware-, malware- en cybercriminaliteitstoolkits te detecteren. De regel is door de leverancier getest in productieomgevingen om valse positieven te minimaliseren. En dankzij het SIGMA-project produceren de meeste van deze indicatoren een minimaal aantal geluidsgebeurtenissen.
Omdat In InTrust is dit een monitoringregel, je kunt een responsscript uitvoeren als reactie op een dreiging. U kunt een van de ingebouwde scripts gebruiken of uw eigen scripts maken, waarna InTrust deze automatisch distribueert.
Bovendien kunt u alle gebeurtenisgerelateerde telemetrie inspecteren: PowerShell-scripts, procesuitvoering, geplande taakmanipulaties, WMI-beheeractiviteiten, en deze gebruiken voor autopsie tijdens beveiligingsincidenten.
InTrust kent honderden andere regels, waaronder enkele:
- Het detecteren van een PowerShell-downgradeaanval is wanneer iemand opzettelijk een oudere versie van PowerShell gebruikt omdat... in de oudere versie was er geen manier om te controleren wat er gebeurde.
- Detectie van aanmelding met hoge bevoegdheden vindt plaats wanneer accounts die lid zijn van een bepaalde geprivilegieerde groep (zoals domeinbeheerders) zich per ongeluk of vanwege beveiligingsincidenten aanmelden bij werkstations.
Met InTrust kunt u de beste beveiligingspraktijken gebruiken in de vorm van vooraf gedefinieerde detectie- en reactieregels. En als u denkt dat iets anders zou moeten werken, kunt u uw eigen kopie van de regel maken en deze naar behoefte configureren. Een aanvraag voor het uitvoeren van een pilot of het verkrijgen van verdeelsets met tijdelijke vergunningen kunt u indienen via op onze website.
Abonneer u op onze , publiceren we daar korte aantekeningen en interessante links.
Lees onze andere artikelen over informatiebeveiliging:
(populair artikel)
Bron: www.habr.com