Um dos tipos mais comuns de ataques é a geração de um processo malicioso em uma árvore sob processos totalmente respeitáveis. O caminho para o arquivo executável pode ser suspeito: o malware geralmente usa as pastas AppData ou Temp, e isso não é típico de programas legítimos. Para ser justo, vale dizer que alguns utilitários de atualização automática são executados no AppData, portanto, apenas verificar o local de inicialização não é suficiente para confirmar se o programa é malicioso.
Um fator adicional de legitimidade é uma assinatura criptográfica: muitos programas originais são assinados pelo fornecedor. Você pode usar o fato de não haver assinatura como método para identificar itens de inicialização suspeitos. Mas, novamente, existe um malware que usa um certificado roubado para se assinar.
Você também pode verificar o valor dos hashes criptográficos MD5 ou SHA256, que podem corresponder a algum malware detectado anteriormente. Você pode realizar análises estáticas observando as assinaturas no programa (usando regras Yara ou produtos antivírus). Há também análise dinâmica (executar um programa em algum ambiente seguro e monitorar suas ações) e engenharia reversa.
Pode haver muitos sinais de um processo malicioso. Neste artigo, mostraremos como habilitar a auditoria de eventos relevantes no Windows, analisaremos os sinais de que a regra integrada depende para identificar um processo suspeito. InTrust é para coleta, análise e armazenamento de dados não estruturados, que já possuem centenas de reações predefinidas a diversos tipos de ataques.
Quando o programa é iniciado, ele é carregado na memória do computador. O arquivo executável contém instruções de computador e bibliotecas de suporte (por exemplo, *.dll). Quando um processo já está em execução, ele pode criar threads adicionais. Threads permitem que um processo execute diferentes conjuntos de instruções simultaneamente. Há muitas maneiras de códigos maliciosos penetrarem na memória e serem executados. Vejamos algumas delas.
A maneira mais fácil de iniciar um processo malicioso é forçar o usuário a iniciá-lo diretamente (por exemplo, a partir de um anexo de e-mail) e, em seguida, usar a tecla RunOnce para iniciá-lo sempre que o computador for ligado. Isso também inclui malware “sem arquivo” que armazena scripts do PowerShell em chaves de registro que são executadas com base em um gatilho. Neste caso, o script do PowerShell é um código malicioso.
O problema da execução explícita de malware é que se trata de uma abordagem conhecida e facilmente detectada. Alguns malwares fazem coisas mais inteligentes, como usar outro processo para iniciar a execução na memória. Portanto, um processo pode criar outro processo executando uma instrução específica do computador e especificando um arquivo executável (.exe) para ser executado.
O arquivo pode ser especificado usando um caminho completo (por exemplo, C:Windowssystem32cmd.exe) ou um caminho parcial (por exemplo, cmd.exe). Se o processo original for inseguro, permitirá a execução de programas ilegítimos. Um ataque pode ser assim: um processo inicia o cmd.exe sem especificar o caminho completo, o invasor coloca seu cmd.exe em um local para que o processo o inicie antes do legítimo. Depois que o malware é executado, ele pode iniciar um programa legítimo (como C: Windowssystem32cmd.exe) para que o programa original continue funcionando corretamente.
Uma variação do ataque anterior é a injeção de DLL em um processo legítimo. Quando um processo é iniciado, ele encontra e carrega bibliotecas que ampliam sua funcionalidade. Usando injeção de DLL, um invasor cria uma biblioteca maliciosa com o mesmo nome e API de uma biblioteca legítima. O programa carrega uma biblioteca maliciosa e esta, por sua vez, carrega uma biblioteca legítima e, se necessário, a chama para realizar operações. A biblioteca maliciosa começa a atuar como proxy da biblioteca boa.
Outra forma de colocar código malicioso na memória é inseri-lo em um processo inseguro que já esteja em execução. Os processos recebem informações de várias fontes - leitura da rede ou de arquivos. Eles normalmente realizam uma verificação para garantir que a entrada é legítima. Mas alguns processos não possuem proteção adequada ao executar instruções. Neste ataque, não há biblioteca no disco ou arquivo executável contendo código malicioso. Tudo é armazenado na memória junto com o processo que está sendo explorado.
Agora vamos examinar a metodologia para permitir a coleta de tais eventos no Windows e a regra no InTrust que implementa proteção contra tais ameaças. Primeiro, vamos ativá-lo por meio do console de gerenciamento do InTrust.
A regra usa os recursos de rastreamento de processos do sistema operacional Windows. Infelizmente, permitir a recolha de tais eventos está longe de ser óbvio. Existem três configurações diferentes de Política de Grupo que você precisa alterar:
Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas locais > Política de auditoria > Rastreamento de processo de auditoria
Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Configuração avançada de política de auditoria > Políticas de auditoria > Rastreamento detalhado > Criação de processo de auditoria
Configuração do Computador > Políticas > Modelos Administrativos > Sistema > Criação de Processo de Auditoria > Incluir linha de comando em eventos de criação de processos
Uma vez ativadas, as regras do InTrust permitem detectar ameaças anteriormente desconhecidas que apresentam comportamento suspeito. Por exemplo, você pode identificar Malware Dridex. Graças ao projeto HP Bromium, sabemos como funciona essa ameaça.
Em sua cadeia de ações, Dridex usa schtasks.exe para criar uma tarefa agendada. Usar este utilitário específico na linha de comando é considerado um comportamento muito suspeito; iniciar o svchost.exe com parâmetros que apontam para pastas do usuário ou com parâmetros semelhantes aos comandos “net view” ou “whoami” é semelhante. Aqui está um fragmento do correspondente :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themNo InTrust, todos os comportamentos suspeitos estão incluídos em uma regra, porque a maioria dessas ações não são específicas de uma ameaça específica, mas são suspeitas em um complexo e em 99% dos casos são usadas para fins não inteiramente nobres. Esta lista de ações inclui, mas não está limitada a:
- Processos executados em locais incomuns, como pastas temporárias de usuários.
- Processo de sistema bem conhecido com herança suspeita - algumas ameaças podem tentar usar o nome de processos do sistema para permanecerem sem serem detectadas.
- Execuções suspeitas de ferramentas administrativas como cmd ou PsExec quando usam credenciais de sistema local ou herança suspeita.
- Operações suspeitas de cópia de sombra são um comportamento comum de vírus ransomware antes de criptografar um sistema; elas matam backups:
— Via vssadmin.exe;
- Através do WMI. - Registre dumps de seções inteiras do registro.
- Movimento horizontal de código malicioso quando um processo é iniciado remotamente usando comandos como at.exe.
- Operações suspeitas de grupo local e operações de domínio usando net.exe.
- Atividade suspeita de firewall usando netsh.exe.
- Manipulação suspeita do LCA.
- Usando BITS para exfiltração de dados.
- Manipulações suspeitas com WMI.
- Comandos de script suspeitos.
- Tentativas de despejar arquivos de sistema seguros.
A regra combinada funciona muito bem para detectar ameaças como RUYK, LockerGoga e outros kits de ferramentas de ransomware, malware e crimes cibernéticos. A regra foi testada pelo fornecedor em ambientes de produção para minimizar falsos positivos. E graças ao projeto SIGMA, a maioria destes indicadores produz um número mínimo de eventos de ruído.
Porque No InTrust esta é uma regra de monitoramento, você pode executar um script de resposta como reação a uma ameaça. Você pode usar um dos scripts integrados ou criar o seu próprio e o InTrust o distribuirá automaticamente.
Além disso, você pode inspecionar toda a telemetria relacionada a eventos: scripts do PowerShell, execução de processos, manipulações de tarefas agendadas, atividades administrativas do WMI e usá-los para post-mortems durante incidentes de segurança.
O InTrust tem centenas de outras regras, algumas delas:
- Detectar um ataque de downgrade do PowerShell ocorre quando alguém usa deliberadamente uma versão mais antiga do PowerShell porque... na versão mais antiga não havia como auditar o que estava acontecendo.
- A detecção de logon de alto privilégio ocorre quando contas que são membros de um determinado grupo privilegiado (como administradores de domínio) fazem logon em estações de trabalho por acidente ou devido a incidentes de segurança.
O InTrust permite que você use as melhores práticas de segurança na forma de regras predefinidas de detecção e reação. E se você acha que algo deveria funcionar de forma diferente, você pode fazer sua própria cópia da regra e configurá-la conforme necessário. Você pode solicitar a realização de um piloto ou obter kits de distribuição com licenças temporárias através no nosso site.
Assine nosso , publicamos notas curtas e links interessantes lá.
Leia nossos outros artigos sobre segurança da informação:
(artigo popular)
Fonte: habr.com