Jedným z najbežnejších typov útokov je spustenie škodlivého procesu v strome za úplne slušných procesov. Cesta k spustiteľnému súboru môže byť podozrivá: malvér často používa priečinky AppData alebo Temp, čo nie je typické pre legitímne programy. Aby sme boli spravodliví, stojí za to povedať, že niektoré nástroje na automatickú aktualizáciu sa spúšťajú v AppData, takže iba kontrola miesta spustenia nestačí na potvrdenie, že program je škodlivý.
Ďalším faktorom legitimity je kryptografický podpis: mnoho originálnych programov je podpísaných predajcom. Skutočnosť, že neexistuje žiadny podpis, môžete použiť ako metódu na identifikáciu podozrivých položiek pri spustení. Ale opäť je tu malvér, ktorý používa ukradnutý certifikát na svoj podpis.
Môžete tiež skontrolovať hodnotu kryptografických hashov MD5 alebo SHA256, ktoré môžu zodpovedať niektorému predtým zistenému malvéru. Statickú analýzu môžete vykonať pohľadom na podpisy v programe (pomocou pravidiel Yara alebo antivírusových produktov). K dispozícii je tiež dynamická analýza (spustenie programu v nejakom bezpečnom prostredí a sledovanie jeho akcií) a reverzné inžinierstvo.
Príznakov škodlivého procesu môže byť veľa. V tomto článku vám povieme, ako povoliť auditovanie relevantných udalostí v systéme Windows, analyzujeme znaky, na ktoré sa vstavané pravidlo spolieha identifikovať podozrivý proces. InTrust je na zber, analýzu a ukladanie neštruktúrovaných dát, ktoré už majú stovky preddefinovaných reakcií na rôzne typy útokov.
Po spustení sa program načíta do pamäte počítača. Spustiteľný súbor obsahuje počítačové inštrukcie a podporné knižnice (napríklad *.dll). Keď je proces už spustený, môže vytvárať ďalšie vlákna. Vlákna umožňujú procesu vykonávať rôzne sady inštrukcií súčasne. Existuje mnoho spôsobov, ako môže škodlivý kód preniknúť do pamäte a spustiť sa, pozrime sa na niektoré z nich.
Najjednoduchší spôsob, ako spustiť škodlivý proces, je prinútiť používateľa, aby ho spustil priamo (napríklad z prílohy e-mailu), potom ho pomocou klávesu RunOnce spustite pri každom zapnutí počítača. To zahŕňa aj „bezsúborový“ malvér, ktorý ukladá skripty PowerShell do kľúčov databázy Registry, ktoré sa spúšťajú na základe spúšťača. V tomto prípade je skript PowerShell škodlivý kód.
Problém s explicitne spusteným malvérom je, že ide o známy prístup, ktorý sa dá ľahko zistiť. Niektorý malvér robí šikovnejšie veci, ako napríklad použitie iného procesu na spustenie v pamäti. Proces preto môže vytvoriť ďalší proces spustením konkrétnej počítačovej inštrukcie a určením spustiteľného súboru (.exe), ktorý sa má spustiť.
Súbor možno zadať pomocou úplnej cesty (napríklad C:Windowssystem32cmd.exe) alebo čiastočnej cesty (napríklad cmd.exe). Ak je pôvodný proces nezabezpečený, umožní spustenie nelegitímnych programov. Útok môže vyzerať takto: proces spustí cmd.exe bez zadania úplnej cesty, útočník umiestni svoj cmd.exe na miesto tak, aby ho proces spustil pred legitímnym. Po spustení malvéru môže spustiť legitímny program (napríklad C:Windowssystem32cmd.exe), aby pôvodný program naďalej správne fungoval.
Variáciou predchádzajúceho útoku je injekcia DLL do legitímneho procesu. Keď sa proces spustí, nájde a načíta knižnice, ktoré rozšíria jeho funkčnosť. Pomocou injekcie DLL útočník vytvorí škodlivú knižnicu s rovnakým názvom a rozhraním API ako legitímna knižnica. Program načíta škodlivú knižnicu a tá zase načíta legitímnu knižnicu a v prípade potreby ju zavolá, aby vykonala operácie. Škodlivá knižnica začne fungovať ako proxy pre dobrú knižnicu.
Ďalším spôsobom, ako uložiť škodlivý kód do pamäte, je vložiť ho do nebezpečného procesu, ktorý už beží. Procesy dostávajú vstup z rôznych zdrojov – čítanie zo siete alebo súborov. Zvyčajne vykonávajú kontrolu, aby sa uistili, že vstup je legitímny. Niektoré procesy však nemajú správnu ochranu pri vykonávaní pokynov. Pri tomto útoku nie je na disku žiadna knižnica ani spustiteľný súbor obsahujúci škodlivý kód. Všetko je uložené v pamäti spolu s využívaným procesom.
Teraz sa pozrime na metodiku povolenia zhromažďovania takýchto udalostí vo Windowse a pravidlo v InTrust, ktoré implementuje ochranu pred takýmito hrozbami. Po prvé, poďme ho aktivovať prostredníctvom riadiacej konzoly InTrust.
Pravidlo využíva možnosti sledovania procesov operačného systému Windows. Bohužiaľ, umožnenie zberu takýchto udalostí nie je ani zďaleka samozrejmosťou. Existujú 3 rôzne nastavenia skupinovej politiky, ktoré musíte zmeniť:
Konfigurácia počítača > Zásady > Nastavenia systému Windows > Nastavenia zabezpečenia > Miestne zásady > Zásady auditu > Sledovanie procesu auditu
Konfigurácia počítača > Zásady > Nastavenia systému Windows > Nastavenia zabezpečenia > Rozšírená konfigurácia zásad auditu > Zásady auditu > Podrobné sledovanie > Vytvorenie procesu auditu
Konfigurácia počítača > Politiky > Šablóny pre správu > Systém > Vytvorenie procesu auditu > Zahrnúť príkazový riadok do udalostí vytvárania procesu
Po povolení vám pravidlá InTrust umožňujú odhaliť predtým neznáme hrozby, ktoré vykazujú podozrivé správanie. Môžete napríklad identifikovať Škodlivý softvér Dridex. Vďaka projektu HP Bromium vieme, ako táto hrozba funguje.
Vo svojom reťazci akcií Dridex používa schtasks.exe na vytvorenie naplánovanej úlohy. Používanie tohto konkrétneho nástroja z príkazového riadku sa považuje za veľmi podozrivé správanie; spustenie svchost.exe s parametrami, ktoré ukazujú na používateľské priečinky alebo s parametrami podobnými príkazom „net view“ alebo „whoami“ vyzerá podobne. Tu je fragment zodpovedajúceho :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themV InTrust je všetko podozrivé správanie zahrnuté v jednom pravidle, pretože väčšina týchto akcií nie je špecifická pre konkrétnu hrozbu, ale je podozrivá v komplexe a v 99% prípadov sa používa na nie úplne ušľachtilé účely. Tento zoznam akcií zahŕňa, ale nie je obmedzený na:
- Procesy spustené z neobvyklých umiestnení, ako sú dočasné priečinky používateľa.
- Dobre známy systémový proces s podozrivým dedičstvom – niektoré hrozby sa môžu pokúsiť použiť názov systémových procesov, aby zostali neodhalené.
- Podozrivé spúšťanie nástrojov na správu, ako sú cmd alebo PsExec, keď používajú poverenia miestneho systému alebo podozrivé dedičstvo.
- Podozrivé operácie tieňovej kópie sú bežným správaním ransomvérových vírusov pred zašifrovaním systému; zabíjajú zálohy:
— Cez vssadmin.exe;
- Cez WMI. - Registrujte výpisy celých podregistrov.
- Horizontálny pohyb škodlivého kódu, keď je proces spustený na diaľku pomocou príkazov ako at.exe.
- Podozrivé lokálne skupinové operácie a doménové operácie pomocou net.exe.
- Podozrivá aktivita brány firewall pomocou netsh.exe.
- Podozrivá manipulácia s ACL.
- Použitie BITS na exfiltráciu údajov.
- Podozrivé manipulácie s WMI.
- Podozrivé príkazy skriptu.
- Pokusy o výpis zabezpečených systémových súborov.
Kombinované pravidlo funguje veľmi dobre pri zisťovaní hrozieb, ako sú RUYK, LockerGoga a ďalšie sady nástrojov na ransomvér, malvér a počítačovú kriminalitu. Pravidlo bolo testované dodávateľom v produkčnom prostredí, aby sa minimalizovali falošné poplachy. A vďaka projektu SIGMA väčšina týchto indikátorov produkuje minimálny počet hlukových udalostí.
Pretože V InTrust ide o pravidlo monitorovania, môžete spustiť skript odozvy ako reakciu na hrozbu. Môžete použiť jeden zo vstavaných skriptov alebo si vytvoriť vlastný a InTrust ho automaticky distribuuje.
Okrem toho môžete kontrolovať všetku telemetriu súvisiacu s udalosťami: skripty PowerShell, vykonávanie procesov, plánované manipulácie s úlohami, administratívne aktivity WMI a použiť ich na pitvu počas bezpečnostných incidentov.
InTrust má stovky ďalších pravidiel, niektoré z nich:
- Detekcia útoku na downgrade PowerShell je, keď niekto úmyselne používa staršiu verziu PowerShell, pretože... v staršej verzii nebolo možné kontrolovať, čo sa deje.
- Zisťovanie prihlásenia s vysokými právami je, keď sa účty, ktoré sú členmi určitej privilegovanej skupiny (napríklad správcovia domén), prihlásia na pracovné stanice náhodne alebo v dôsledku bezpečnostných incidentov.
InTrust vám umožňuje používať najlepšie bezpečnostné postupy vo forme preddefinovaných pravidiel detekcie a odozvy. A ak si myslíte, že by niečo malo fungovať inak, môžete si vytvoriť vlastnú kópiu pravidla a nakonfigurovať ju podľa potreby. Žiadosť o vykonanie pilotného projektu alebo získanie distribučných súprav s dočasnými licenciami môžete podať prostredníctvom na našej webovej stránke.
Prihláste sa na odber nášho , uverejňujeme tam krátke poznámky a zaujímavé odkazy.
Prečítajte si naše ďalšie články o informačnej bezpečnosti:
(populárny článok)
Zdroj: hab.com