Unul dintre cele mai comune tipuri de atacuri este generarea unui proces rău intenționat într-un copac în cadrul unor procese complet respectabile. Calea către fișierul executabil poate fi suspectă: programele malware folosesc adesea folderele AppData sau Temp, iar acest lucru nu este tipic pentru programele legitime. Pentru a fi corect, merită să spunem că unele utilitare de actualizare automată sunt executate în AppData, așa că doar verificarea locației de lansare nu este suficientă pentru a confirma că programul este rău intenționat.
Un factor suplimentar de legitimitate este o semnătură criptografică: multe programe originale sunt semnate de furnizor. Puteți utiliza faptul că nu există semnătură ca metodă de identificare a elementelor de pornire suspecte. Dar, din nou, există programe malware care utilizează un certificat furat pentru a se semna.
De asemenea, puteți verifica valoarea hashurilor criptografice MD5 sau SHA256, care pot corespunde unor programe malware detectate anterior. Puteți efectua analize statice privind semnăturile din program (folosind regulile Yara sau produse antivirus). Există, de asemenea, analiză dinamică (rularea unui program într-un mediu sigur și monitorizarea acțiunilor acestuia) și inginerie inversă.
Pot exista multe semne ale unui proces rău intenționat. În acest articol vă vom spune cum să activați auditarea evenimentelor relevante în Windows, vom analiza semnele pe care se bazează regula încorporată pentru a identifica un proces suspect. Încrederea este pentru colectarea, analizarea și stocarea datelor nestructurate, care are deja sute de reacții predefinite la diferite tipuri de atacuri.
Când programul este lansat, acesta este încărcat în memoria computerului. Fișierul executabil conține instrucțiuni pentru computer și biblioteci de suport (de exemplu, *.dll). Când un proces rulează deja, acesta poate crea fire suplimentare. Thread-urile permit unui proces să execute diferite seturi de instrucțiuni simultan. Există multe moduri prin care codul rău intenționat să pătrundă în memorie și să ruleze, să ne uităm la unele dintre ele.
Cel mai simplu mod de a lansa un proces rău intenționat este de a forța utilizatorul să-l lanseze direct (de exemplu, dintr-un atașament de e-mail), apoi de a folosi tasta RunOnce pentru a-l lansa de fiecare dată când computerul este pornit. Aceasta include și programe malware „fără fișiere” care stochează scripturi PowerShell în chei de registry care sunt executate pe baza unui declanșator. În acest caz, scriptul PowerShell este un cod rău intenționat.
Problema cu rularea explicită a programelor malware este că este o abordare cunoscută care este ușor de detectat. Unele programe malware fac lucruri mai inteligente, cum ar fi utilizarea unui alt proces pentru a începe executarea în memorie. Prin urmare, un proces poate crea un alt proces rulând o anumită instrucțiune de computer și specificând un fișier executabil (.exe) pentru a rula.
Fișierul poate fi specificat utilizând o cale completă (de exemplu, C:Windowssystem32cmd.exe) sau o cale parțială (de exemplu, cmd.exe). Dacă procesul inițial este nesigur, va permite rularea programelor nelegitime. Un atac poate arăta astfel: un proces lansează cmd.exe fără a specifica calea completă, atacatorul își plasează cmd.exe într-un loc astfel încât procesul să îl lanseze înaintea celui legitim. Odată ce malware-ul rulează, acesta poate lansa, la rândul său, un program legitim (cum ar fi C:Windowssystem32cmd.exe), astfel încât programul original să continue să funcționeze corect.
O variație a atacului anterior este injectarea DLL într-un proces legitim. Când începe un proces, găsește și încarcă biblioteci care își extind funcționalitatea. Folosind injectarea DLL, un atacator creează o bibliotecă rău intenționată cu același nume și API ca una legitimă. Programul încarcă o bibliotecă rău intenționată și, la rândul său, încarcă una legitimă și, dacă este necesar, o apelează pentru a efectua operațiuni. Biblioteca rău intenționată începe să acționeze ca un proxy pentru biblioteca bună.
O altă modalitate de a introduce cod rău intenționat în memorie este să îl inserați într-un proces nesigur care rulează deja. Procesele primesc input din diverse surse - citire din rețea sau fișiere. Ei efectuează de obicei o verificare pentru a se asigura că intrarea este legitimă. Dar unele procese nu au o protecție adecvată atunci când execută instrucțiuni. În acest atac, nu există nicio bibliotecă pe disc sau fișier executabil care să conțină cod rău intenționat. Totul este stocat în memorie împreună cu procesul exploatat.
Acum să ne uităm la metodologia de activare a colectării unor astfel de evenimente în Windows și la regula din InTrust care implementează protecția împotriva unor astfel de amenințări. Mai întâi, să-l activăm prin consola de management InTrust.
Regula folosește capabilitățile de urmărire a proceselor ale sistemului de operare Windows. Din păcate, activarea colectării unor astfel de evenimente este departe de a fi evidentă. Există 3 setări diferite ale politicii de grup pe care trebuie să le modificați:
Configurare computer > Politici > Setări Windows > Setări de securitate > Politici locale > Politică de audit > Urmărire proces de audit
Configurare computer > Politici > Setări Windows > Setări de securitate > Configurare avansată a politicii de audit > Politici de audit > Urmărire detaliată > Creare proces de audit
Configurare computer > Politici > Șabloane administrative > Sistem > Audit crearea procesului > Includeți linia de comandă în evenimentele de creare a procesului
Odată activate, regulile InTrust vă permit să detectați amenințările necunoscute anterior care prezintă un comportament suspect. De exemplu, vă puteți identifica Malware Dridex. Datorită proiectului HP Bromium, știm cum funcționează această amenințare.
În lanțul său de acțiuni, Dridex folosește schtasks.exe pentru a crea o sarcină programată. Utilizarea acestui utilitar special din linia de comandă este considerată un comportament foarte suspect; lansarea svchost.exe cu parametri care indică folderele utilizatorului sau cu parametri similari comenzilor „net view” sau „whoami” arată similar. Iată un fragment din corespunzătoare :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themÎn InTrust, toate comportamentele suspecte sunt incluse într-o singură regulă, deoarece majoritatea acestor acțiuni nu sunt specifice unei anumite amenințări, ci mai degrabă sunt suspecte într-un complex și în 99% din cazuri sunt folosite în scopuri nu în întregime nobile. Această listă de acțiuni include, dar nu se limitează la:
- Procese care rulează din locații neobișnuite, cum ar fi folderele temporare ale utilizatorului.
- Proces de sistem binecunoscut cu moștenire suspectă - unele amenințări pot încerca să folosească numele proceselor de sistem pentru a rămâne nedetectate.
- Execuții suspecte ale instrumentelor administrative, cum ar fi cmd sau PsExec, atunci când folosesc acreditări ale sistemului local sau moștenire suspectă.
- Operațiunile suspecte de copiere umbră sunt un comportament obișnuit al virușilor ransomware înainte de a cripta un sistem; ele distrug backup-urile:
— Prin vssadmin.exe;
- Prin WMI. - Înregistrați depozitele întregii stupi de registru.
- Mișcarea orizontală a codului rău intenționat atunci când un proces este lansat de la distanță folosind comenzi precum at.exe.
- Operațiuni suspecte de grup local și operațiuni de domeniu folosind net.exe.
- Activitate suspectă de firewall folosind netsh.exe.
- Manipularea suspectă a ACL.
- Utilizarea BITS pentru exfiltrarea datelor.
- Manipulari suspecte cu WMI.
- Comenzi de script suspecte.
- Încercările de a descărca fișierele de sistem securizate.
Regula combinată funcționează foarte bine pentru a detecta amenințări precum RUYK, LockerGoga și alte seturi de instrumente ransomware, malware și criminalitate cibernetică. Regula a fost testată de vânzător în medii de producție pentru a minimiza falsul pozitiv. Și datorită proiectului SIGMA, majoritatea acestor indicatori produc un număr minim de evenimente de zgomot.
Deoarece În InTrust, aceasta este o regulă de monitorizare, puteți executa un script de răspuns ca reacție la o amenințare. Puteți utiliza unul dintre scripturile încorporate sau puteți crea propriul dvs., iar InTrust îl va distribui automat.
În plus, puteți inspecta toată telemetria legată de evenimente: scripturi PowerShell, execuția procesului, manipulările de sarcini programate, activitatea administrativă WMI și le puteți utiliza pentru autopsie în timpul incidentelor de securitate.
InTrust are sute de alte reguli, unele dintre ele:
- Detectarea unui atac de downgrade PowerShell este atunci când cineva folosește în mod deliberat o versiune mai veche a PowerShell, deoarece... în versiunea mai veche nu exista nicio modalitate de a audita ceea ce se întâmplă.
- Detectarea conectării cu privilegii înalte este atunci când conturile care sunt membri ai unui anumit grup privilegiat (cum ar fi administratorii de domenii) se conectează la stațiile de lucru din întâmplare sau din cauza unor incidente de securitate.
InTrust vă permite să utilizați cele mai bune practici de securitate sub forma unor reguli predefinite de detectare și reacție. Și dacă credeți că ceva ar trebui să funcționeze diferit, puteți să vă faceți propria copie a regulii și să o configurați după cum este necesar. Puteți depune o cerere pentru efectuarea unui pilot sau obținerea de truse de distribuție cu licențe temporare prin pe site-ul nostru.
Abonează-te la nostru , publicăm acolo note scurte și link-uri interesante.
Citiți celelalte articole ale noastre despre securitatea informațiilor:
(articol popular)
Sursa: www.habr.com