Jednym z najczęstszych typów ataków jest tworzenie złośliwego procesu w drzewie w ramach całkowicie szanowanych procesów. Ścieżka do pliku wykonywalnego może być podejrzana: złośliwe oprogramowanie często korzysta z folderów AppData lub Temp, co nie jest typowe dla legalnych programów. Aby być uczciwym, warto powiedzieć, że niektóre narzędzia do automatycznej aktualizacji są uruchamiane w AppData, więc samo sprawdzenie lokalizacji uruchomienia nie wystarczy, aby potwierdzić, że program jest złośliwy.
Dodatkowym czynnikiem legalności jest podpis kryptograficzny: wiele oryginalnych programów jest podpisywanych przez dostawcę. Możesz wykorzystać fakt, że nie ma podpisu, jako metodę identyfikacji podejrzanych elementów startowych. Ale z drugiej strony istnieje złośliwe oprogramowanie, które wykorzystuje skradziony certyfikat do podpisania się.
Możesz także sprawdzić wartość skrótów kryptograficznych MD5 lub SHA256, które mogą odpowiadać niektórym wykrytym wcześniej złośliwym oprogramowaniem. Możesz przeprowadzić analizę statyczną, przeglądając sygnatury w programie (przy użyciu reguł Yara lub produktów antywirusowych). Istnieje również analiza dynamiczna (uruchomienie programu w jakimś bezpiecznym środowisku i monitorowanie jego działania) oraz inżynieria wsteczna.
Może być wiele oznak złośliwego procesu. W tym artykule dowiesz się jak włączyć kontrolę odpowiednich zdarzeń w systemie Windows, przeanalizujemy oznaki, na których opiera się wbudowana reguła w celu zidentyfikowania podejrzanego procesu. InTrust jest do gromadzenia, analizowania i przechowywania nieustrukturyzowanych danych, które posiadają już setki predefiniowanych reakcji na różnego rodzaju ataki.
Po uruchomieniu program jest ładowany do pamięci komputera. Plik wykonywalny zawiera instrukcje komputerowe i biblioteki pomocnicze (na przykład *.dll). Gdy proces jest już uruchomiony, może utworzyć dodatkowe wątki. Wątki umożliwiają procesowi jednoczesne wykonywanie różnych zestawów instrukcji. Złośliwy kod może przedostać się do pamięci i uruchomić się na wiele sposobów. Przyjrzyjmy się niektórym z nich.
Najprostszym sposobem uruchomienia szkodliwego procesu jest wymuszenie na użytkowniku bezpośredniego uruchomienia go (na przykład z załącznika do wiadomości e-mail), a następnie użycie klawisza RunOnce w celu uruchomienia go przy każdym włączeniu komputera. Obejmuje to także „bezplikowe” złośliwe oprogramowanie przechowujące skrypty PowerShell w kluczach rejestru uruchamianych na podstawie wyzwalacza. W tym przypadku skrypt PowerShell jest złośliwym kodem.
Problem z jawnym uruchamianiem złośliwego oprogramowania polega na tym, że jest to znane podejście, które można łatwo wykryć. Niektóre złośliwe oprogramowanie robią bardziej sprytne rzeczy, na przykład używają innego procesu do rozpoczęcia wykonywania w pamięci. Dlatego proces może utworzyć inny proces, uruchamiając określoną instrukcję komputerową i określając plik wykonywalny (.exe), który ma zostać uruchomiony.
Plik można określić przy użyciu pełnej ścieżki (na przykład C:Windowssystem32cmd.exe) lub częściowej ścieżki (na przykład cmd.exe). Jeśli oryginalny proces jest niepewny, umożliwi uruchomienie nielegalnych programów. Atak może wyglądać następująco: proces uruchamia cmd.exe bez określenia pełnej ścieżki, osoba atakująca umieszcza swój plik cmd.exe w takim miejscu, aby proces uruchomił go przed prawidłowym. Po uruchomieniu szkodliwe oprogramowanie może z kolei uruchomić legalny program (taki jak C:Windowssystem32cmd.exe), dzięki czemu oryginalny program nadal działa poprawnie.
Odmianą poprzedniego ataku jest wstrzyknięcie biblioteki DLL do legalnego procesu. Po uruchomieniu proces wyszukuje i ładuje biblioteki rozszerzające jego funkcjonalność. Korzystając z wstrzyknięcia biblioteki DLL, osoba atakująca tworzy złośliwą bibliotekę o tej samej nazwie i interfejsie API, co legalna biblioteka. Program ładuje złośliwą bibliotekę, a ona z kolei ładuje legalną bibliotekę i, jeśli to konieczne, wywołuje ją w celu wykonania operacji. Szkodliwa biblioteka zaczyna działać jako serwer proxy dobrej biblioteki.
Innym sposobem umieszczenia złośliwego kodu w pamięci jest wstawienie go do niebezpiecznego procesu, który już działa. Procesy otrzymują dane wejściowe z różnych źródeł - odczyt z sieci lub plików. Zwykle sprawdzają, czy wprowadzone dane są prawidłowe. Ale niektóre procesy nie mają odpowiedniej ochrony podczas wykonywania instrukcji. W tym ataku na dysku nie ma biblioteki ani pliku wykonywalnego zawierającego złośliwy kod. Wszystko jest przechowywane w pamięci wraz z wykorzystywanym procesem.
Przyjrzyjmy się teraz metodologii umożliwiającej zbieranie takich zdarzeń w systemie Windows i regule w InTrust, która implementuje ochronę przed takimi zagrożeniami. Najpierw aktywujmy go poprzez konsolę zarządzania InTrust.
Reguła korzysta z możliwości śledzenia procesów systemu operacyjnego Windows. Niestety umożliwienie gromadzenia takich zdarzeń nie jest oczywiste. Istnieją 3 różne ustawienia zasad grupy, które należy zmienić:
Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Zasady inspekcji > Śledzenie procesu inspekcji
Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zaawansowana konfiguracja zasad inspekcji > Zasady inspekcji > Szczegółowe śledzenie > Tworzenie procesu inspekcji
Konfiguracja komputera > Zasady > Szablony administracyjne > System > Tworzenie procesu inspekcji > Dołącz wiersz poleceń do zdarzeń tworzenia procesu
Po włączeniu reguły InTrust umożliwiają wykrywanie nieznanych wcześniej zagrożeń, które wykazują podejrzane zachowanie. Na przykład możesz zidentyfikować Złośliwe oprogramowanie Dridex. Dzięki projektowi HP Bromium wiemy, jak działa to zagrożenie.
W swoim łańcuchu działań Dridex używa programu schtasks.exe do utworzenia zaplanowanego zadania. Używanie tego konkretnego narzędzia z wiersza poleceń jest uważane za bardzo podejrzane zachowanie; uruchomienie svchost.exe z parametrami wskazującymi foldery użytkownika lub z parametrami podobnymi do poleceń „net view” lub „whoami” wygląda podobnie. Oto fragment odpowiedniego :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themW InTrust wszystkie podejrzane zachowania są ujęte w jedną regułę, ponieważ większość tych działań nie jest specyficzna dla konkretnego zagrożenia, ale raczej jest podejrzana w sposób złożony i w 99% przypadków wykorzystywana jest do celów nie do końca szlachetnych. Ta lista działań obejmuje między innymi:
- Procesy uruchamiane z nietypowych lokalizacji, takich jak tymczasowe foldery użytkownika.
- Dobrze znany proces systemowy z podejrzanym dziedziczeniem — niektóre zagrożenia mogą próbować używać nazw procesów systemowych, aby pozostać niewykrytymi.
- Podejrzane uruchamianie narzędzi administracyjnych, takich jak cmd lub PsExec, gdy korzystają one z poświadczeń systemu lokalnego lub podejrzanego dziedziczenia.
- Podejrzane operacje kopiowania w tle są częstym zachowaniem wirusów ransomware przed zaszyfrowaniem systemu; niszczą kopie zapasowe:
— Przez vssadmin.exe;
- Przez WMI. - Rejestruj zrzuty całych gałęzi rejestru.
- Poziomy przepływ złośliwego kodu, gdy proces jest uruchamiany zdalnie za pomocą poleceń takich jak at.exe.
- Podejrzane operacje na grupach lokalnych i operacje na domenie przy użyciu programu net.exe.
- Podejrzana aktywność zapory sieciowej przy użyciu programu netsh.exe.
- Podejrzana manipulacja listą ACL.
- Używanie usługi BITS do eksfiltracji danych.
- Podejrzane manipulacje z WMI.
- Podejrzane polecenia skryptu.
- Próbuje zrzucić bezpieczne pliki systemowe.
Połączona reguła sprawdza się bardzo dobrze w wykrywaniu zagrożeń, takich jak RUYK, LockerGoga i inne zestawy narzędzi ransomware, złośliwego oprogramowania i cyberprzestępczości. Reguła została przetestowana przez dostawcę w środowiskach produkcyjnych, aby zminimalizować liczbę fałszywych alarmów. A dzięki projektowi SIGMA większość tych wskaźników generuje minimalną liczbę zdarzeń związanych z hałasem.
Ponieważ W InTrust jest to reguła monitorowania, możesz wykonać skrypt odpowiedzi jako reakcję na zagrożenie. Możesz użyć jednego z wbudowanych skryptów lub utworzyć własny, a InTrust automatycznie go rozprowadzi.
Ponadto możesz sprawdzać całą telemetrię związaną ze zdarzeniami: skrypty PowerShell, wykonywanie procesów, manipulacje zaplanowanymi zadaniami, aktywność administracyjną WMI i wykorzystywać je do sekcji zwłok podczas incydentów bezpieczeństwa.
InTrust ma setki innych zasad, niektóre z nich:
- Wykrycie ataku na niższą wersję programu PowerShell ma miejsce wtedy, gdy ktoś celowo używa starszej wersji programu PowerShell, ponieważ... w starszej wersji nie było możliwości sprawdzenia co się dzieje.
- Wykrywanie logowania o wysokich uprawnieniach ma miejsce, gdy konta należące do określonej grupy uprzywilejowanej (np. administratorzy domeny) logują się na stacjach roboczych przez przypadek lub z powodu incydentów związanych z bezpieczeństwem.
InTrust umożliwia korzystanie z najlepszych praktyk bezpieczeństwa w postaci predefiniowanych reguł wykrywania i reagowania. A jeśli uważasz, że coś powinno działać inaczej, możesz stworzyć własną kopię reguły i skonfigurować ją według potrzeb. Wniosek o przeprowadzenie pilotażu lub pozyskanie zestawów dystrybucyjnych z licencjami tymczasowymi można złożyć poprzez stronę na naszej stronie internetowej.
Zapisz się do naszego , publikujemy tam krótkie notatki i ciekawe linki.
Przeczytaj nasze inne artykuły na temat bezpieczeństwa informacji:
(popularny artykuł)
Źródło: www.habr.com