En av de vanligste typene angrep er gyting av en ondsinnet prosess i et tre under fullstendig respektable prosesser. Banen til den kjørbare filen kan være mistenkelig: skadelig programvare bruker ofte AppData- eller Temp-mappene, og dette er ikke typisk for legitime programmer. For å være rettferdig er det verdt å si at noen automatiske oppdateringsverktøy kjøres i AppData, så bare å sjekke lanseringsstedet er ikke nok til å bekrefte at programmet er skadelig.
En ekstra legitimitetsfaktor er en kryptografisk signatur: mange originale programmer er signert av leverandøren. Du kan bruke det faktum at det ikke er noen signatur som en metode for å identifisere mistenkelige oppstartselementer. Men så er det skadevare som bruker et stjålet sertifikat for å signere seg selv.
Du kan også sjekke verdien av MD5 eller SHA256 kryptografiske hashes, som kan tilsvare noe tidligere oppdaget skadelig programvare. Du kan utføre statisk analyse ved å se på signaturer i programmet (ved å bruke Yara-regler eller antivirusprodukter). Det er også dynamisk analyse (å kjøre et program i et sikkert miljø og overvåke handlingene) og omvendt utvikling.
Det kan være mange tegn på en ondsinnet prosess. I denne artikkelen vil vi fortelle deg hvordan du aktiverer revisjon av relevante hendelser i Windows, vi vil analysere tegnene som den innebygde regelen er avhengig av for å identifisere en mistenkelig prosess. InTrust er for innsamling, analyse og lagring av ustrukturerte data, som allerede har hundrevis av forhåndsdefinerte reaksjoner på ulike typer angrep.
Når programmet startes, lastes det inn i datamaskinens minne. Den kjørbare filen inneholder datamaskininstruksjoner og støttebiblioteker (for eksempel *.dll). Når en prosess allerede kjører, kan den opprette flere tråder. Tråder lar en prosess utføre forskjellige sett med instruksjoner samtidig. Det er mange måter for ondsinnet kode å trenge gjennom minnet og kjøre, la oss se på noen av dem.
Den enkleste måten å starte en ondsinnet prosess på er å tvinge brukeren til å starte den direkte (for eksempel fra et e-postvedlegg), og deretter bruke RunOnce-tasten for å starte den hver gang datamaskinen slås på. Dette inkluderer også "filløs" skadelig programvare som lagrer PowerShell-skript i registernøkler som kjøres basert på en trigger. I dette tilfellet er PowerShell-skriptet ondsinnet kode.
Problemet med å eksplisitt kjøre malware er at det er en kjent tilnærming som lett oppdages. Noen skadevare gjør smartere ting, for eksempel å bruke en annen prosess for å begynne å kjøre i minnet. Derfor kan en prosess opprette en annen prosess ved å kjøre en spesifikk datamaskininstruksjon og spesifisere en kjørbar fil (.exe) som skal kjøres.
Filen kan spesifiseres ved hjelp av en full bane (for eksempel C:Windowssystem32cmd.exe) eller en delvis bane (for eksempel cmd.exe). Hvis den opprinnelige prosessen er usikker, vil den tillate illegitime programmer å kjøre. Et angrep kan se slik ut: en prosess starter cmd.exe uten å spesifisere hele banen, angriperen plasserer sin cmd.exe på et sted slik at prosessen starter den før den legitime. Når skadelig programvare kjører, kan den i sin tur starte et legitimt program (som C:Windowssystem32cmd.exe) slik at det originale programmet fortsetter å fungere som det skal.
En variant av det forrige angrepet er DLL-injeksjon i en legitim prosess. Når en prosess starter, finner og laster den biblioteker som utvider funksjonaliteten. Ved å bruke DLL-injeksjon oppretter en angriper et ondsinnet bibliotek med samme navn og API som et legitimt. Programmet laster et ondsinnet bibliotek, og det laster på sin side et legitimt bibliotek, og kaller det om nødvendig for å utføre operasjoner. Det ondsinnede biblioteket begynner å fungere som en proxy for det gode biblioteket.
En annen måte å sette ondsinnet kode i minnet på er å sette den inn i en usikker prosess som allerede kjører. Prosesser mottar input fra ulike kilder – lesing fra nettverket eller filer. De utfører vanligvis en sjekk for å sikre at inndataene er legitime. Men noen prosesser har ikke riktig beskyttelse når de utfører instruksjoner. I dette angrepet er det ikke noe bibliotek på disk eller kjørbar fil som inneholder skadelig kode. Alt lagres i minnet sammen med prosessen som utnyttes.
La oss nå se på metodikken for å aktivere innsamling av slike hendelser i Windows og regelen i InTrust som implementerer beskyttelse mot slike trusler. Først, la oss aktivere den gjennom InTrust-administrasjonskonsollen.
Regelen bruker prosesssporingsfunksjonene til Windows OS. Dessverre er det langt fra opplagt å muliggjøre innsamling av slike hendelser. Det er 3 forskjellige gruppepolicyinnstillinger du må endre:
Datamaskinkonfigurasjon > Retningslinjer > Windows-innstillinger > Sikkerhetsinnstillinger > Lokale retningslinjer > Revisjonspolicy > Revisjonsprosesssporing
Datamaskinkonfigurasjon > Retningslinjer > Windows-innstillinger > Sikkerhetsinnstillinger > Avansert revisjonspolicykonfigurasjon > Revisjonspolicyer > Detaljert sporing > Oppretting av revisjonsprosess
Datamaskinkonfigurasjon > Retningslinjer > Administrative maler > System > Oppretting av revisjonsprosess > Inkluder kommandolinje i prosessopprettingshendelser
Når de er aktivert, lar InTrust-regler deg oppdage tidligere ukjente trusler som viser mistenkelig oppførsel. Du kan for eksempel identifisere deg Dridex malware. Takket være HP Bromium-prosjektet vet vi hvordan denne trusselen fungerer.
I sin handlingskjede bruker Dridex schtasks.exe til å lage en planlagt oppgave. Å bruke dette spesielle verktøyet fra kommandolinjen anses som svært mistenkelig oppførsel; å starte svchost.exe med parametere som peker til brukermapper eller med parametere som ligner på kommandoene "net view" eller "whoami" ser likt ut. Her er et fragment av det tilsvarende :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themI InTrust er all mistenkelig atferd inkludert i én regel, fordi de fleste av disse handlingene ikke er spesifikke for en bestemt trussel, men snarere er mistenkelige i et kompleks og i 99 % av tilfellene brukes til ikke helt edle formål. Denne listen over handlinger inkluderer, men er ikke begrenset til:
- Prosesser som kjører fra uvanlige steder, for eksempel midlertidige brukermapper.
- Velkjent systemprosess med mistenkelig arv - noen trusler kan prøve å bruke navnet på systemprosesser for å forbli uoppdaget.
- Mistenkelige kjøringer av administrative verktøy som cmd eller PsExec når de bruker lokal systemlegitimasjon eller mistenkelig arv.
- Mistenkelige skyggekopioperasjoner er en vanlig oppførsel av løsepengevirus før de krypterer et system; de dreper sikkerhetskopier:
— Via vssadmin.exe;
- Via WMI. - Registrer dumper av hele registerbikuber.
- Horisontal bevegelse av ondsinnet kode når en prosess startes eksternt ved hjelp av kommandoer som at.exe.
- Mistenkelige lokale gruppeoperasjoner og domeneoperasjoner ved bruk av net.exe.
- Mistenkelig brannmuraktivitet ved bruk av netsh.exe.
- Mistenkelig manipulasjon av ACL.
- Bruker BITS for dataeksfiltrering.
- Mistenkelige manipulasjoner med WMI.
- Mistenkelige skriptkommandoer.
- Forsøk på å dumpe sikre systemfiler.
Den kombinerte regelen fungerer veldig bra for å oppdage trusler som RUYK, LockerGoga og annen løsepenge, skadevare og verktøysett for nettkriminalitet. Regelen er testet av leverandøren i produksjonsmiljøer for å minimere falske positiver. Og takket være SIGMA-prosjektet produserer de fleste av disse indikatorene et minimalt antall støyhendelser.
Fordi I InTrust er dette en overvåkingsregel, du kan kjøre et responsskript som en reaksjon på en trussel. Du kan bruke et av de innebygde skriptene eller lage dine egne, og InTrust vil automatisk distribuere det.
I tillegg kan du inspisere all hendelsesrelatert telemetri: PowerShell-skript, prosesskjøring, planlagte oppgavemanipulasjoner, WMI administrativ aktivitet, og bruke dem til obduksjon under sikkerhetshendelser.
InTrust har hundrevis av andre regler, noen av dem:
- Å oppdage et PowerShell-nedgraderingsangrep er når noen bevisst bruker en eldre versjon av PowerShell fordi... i den eldre versjonen var det ingen måte å kontrollere hva som skjedde.
- Høyprivilegert påloggingsdeteksjon er når kontoer som er medlemmer av en bestemt privilegert gruppe (som domeneadministratorer) logger på arbeidsstasjoner ved et uhell eller på grunn av sikkerhetshendelser.
InTrust lar deg bruke beste sikkerhetspraksis i form av forhåndsdefinerte deteksjons- og responsregler. Og hvis du mener at noe burde fungere annerledes, kan du lage din egen kopi av regelen og konfigurere den etter behov. Du kan sende inn en søknad om å gjennomføre en pilot eller skaffe distribusjonssett med midlertidige lisenser gjennom på nettstedet vårt.
Abonner på vår , vi publiserer korte notater og interessante lenker der.
Les våre andre artikler om informasjonssikkerhet:
(populær artikkel)
Kilde: www.habr.com