Ena najpogostejših vrst napadov je ustvarjanje zlonamernega procesa v drevesu pod povsem uglednimi procesi. Pot do izvršljive datoteke je lahko sumljiva: zlonamerna programska oprema pogosto uporablja mape AppData ali Temp, kar ni značilno za zakonite programe. Po pravici povedano velja povedati, da se nekateri pripomočki za samodejno posodabljanje izvajajo v AppData, zato samo preverjanje lokacije zagona ni dovolj za potrditev, da je program zlonameren.
Dodaten dejavnik legitimnosti je kriptografski podpis: številne izvirne programe podpiše prodajalec. Dejstvo, da ni podpisa, lahko uporabite kot metodo za prepoznavanje sumljivih zagonskih elementov. Toda spet obstaja zlonamerna programska oprema, ki za podpisovanje uporablja ukradeno potrdilo.
Preverite lahko tudi vrednost kriptografskih zgoščenj MD5 ali SHA256, ki morda ustrezajo nekaterim predhodno odkritim zlonamernim programom. Statično analizo lahko izvedete tako, da pogledate podpise v programu (z uporabo pravil Yara ali protivirusnih izdelkov). Obstaja tudi dinamična analiza (izvajanje programa v nekem varnem okolju in spremljanje njegovih dejanj) in obratni inženiring.
Znakov zlonamernega postopka je lahko veliko. V tem članku vam bomo povedali, kako omogočiti revizijo ustreznih dogodkov v sistemu Windows, analizirali bomo znake, na katere se opira vgrajeno pravilo za prepoznavanje sumljivega postopka. InTrust je za zbiranje, analiziranje in shranjevanje nestrukturiranih podatkov, ki ima že na stotine vnaprej določenih reakcij na različne vrste napadov.
Ko se program zažene, se naloži v pomnilnik računalnika. Izvedljiva datoteka vsebuje računalniška navodila in podporne knjižnice (na primer *.dll). Ko se proces že izvaja, lahko ustvari dodatne niti. Niti omogočajo procesu, da istočasno izvaja različne nize navodil. Obstaja veliko načinov, kako zlonamerna koda prodre v pomnilnik in deluje, poglejmo nekatere izmed njih.
Najlažji način za zagon zlonamernega procesa je, da uporabnika prisilite, da ga zažene neposredno (na primer iz e-poštne priloge), nato pa ga s tipko RunOnce zaženete vsakič, ko vklopite računalnik. To vključuje tudi zlonamerno programsko opremo brez datotek, ki shranjuje skripte PowerShell v registrske ključe, ki se izvajajo na podlagi sprožilca. V tem primeru je skript PowerShell zlonamerna koda.
Težava pri eksplicitnem izvajanju zlonamerne programske opreme je, da je to znan pristop, ki ga je zlahka zaznati. Nekatera zlonamerna programska oprema počne bolj pametne stvari, kot je uporaba drugega procesa za začetek izvajanja v pomnilniku. Zato lahko proces ustvari drug proces tako, da zažene določeno računalniško navodilo in določi izvedljivo datoteko (.exe), ki naj se zažene.
Datoteko lahko podate s celotno potjo (na primer C:Windowssystem32cmd.exe) ali delno potjo (na primer cmd.exe). Če prvotni postopek ni varen, bo omogočil zagon nelegitimnih programov. Napad je lahko videti takole: proces zažene cmd.exe, ne da bi navedel celotno pot, napadalec postavi svoj cmd.exe na mesto, tako da ga proces zažene pred legitimnim. Ko se zlonamerna programska oprema zažene, lahko zažene zakonit program (kot je C:Windowssystem32cmd.exe), tako da izvirni program še naprej pravilno deluje.
Različica prejšnjega napada je vbrizgavanje DLL v zakonit proces. Ko se proces zažene, poišče in naloži knjižnice, ki razširjajo njegovo funkcionalnost. Z vbrizgavanjem DLL napadalec ustvari zlonamerno knjižnico z istim imenom in API-jem kot zakonita. Program naloži zlonamerno knjižnico, ta pa naloži legitimno knjižnico in jo po potrebi pokliče za izvajanje operacij. Zlonamerna knjižnica začne delovati kot proxy za dobro knjižnico.
Drug način za vstavljanje zlonamerne kode v pomnilnik je, da jo vstavite v nevaren proces, ki se že izvaja. Procesi prejemajo vhodne podatke iz različnih virov – branje iz omrežja ali datotek. Običajno izvedejo preverjanje, da zagotovijo, da je vnos zakonit. Toda nekateri procesi nimajo ustrezne zaščite pri izvajanju navodil. Pri tem napadu na disku ni knjižnice ali izvršljive datoteke, ki bi vsebovala zlonamerno kodo. Vse je shranjeno v pomnilniku skupaj s procesom, ki se izkorišča.
Zdaj pa si poglejmo metodologijo za omogočanje zbiranja takih dogodkov v sistemu Windows in pravilo v InTrustu, ki izvaja zaščito pred tovrstnimi grožnjami. Najprej ga aktivirajmo prek upravljalne konzole InTrust.
Pravilo uporablja zmožnosti sledenja procesom operacijskega sistema Windows. Omogočanje zbiranja takih dogodkov žal še zdaleč ni samoumevno. Spremeniti morate 3 različne nastavitve pravilnika skupine:
Konfiguracija računalnika > Politike > Nastavitve sistema Windows > Varnostne nastavitve > Lokalni pravilniki > Politika revizije > Sledenje procesu revizije
Konfiguracija računalnika > Politike > Nastavitve sistema Windows > Varnostne nastavitve > Napredna konfiguracija pravilnika revizije > Politike revizije > Podrobno sledenje > Ustvarjanje postopka revizije
Konfiguracija računalnika > Politike > Administrativne predloge > Sistem > Ustvarjanje procesa revizije > Vključi ukazno vrstico v dogodke ustvarjanja procesa
Ko so enkrat omogočena, vam pravila InTrust omogočajo odkrivanje prej neznanih groženj, ki kažejo sumljivo vedenje. Na primer, lahko prepoznate Zlonamerna programska oprema Dridex. Zahvaljujoč projektu HP Bromium vemo, kako ta grožnja deluje.
V svoji verigi dejanj Dridex uporablja schtasks.exe za ustvarjanje načrtovanega opravila. Uporaba tega posebnega pripomočka iz ukazne vrstice velja za zelo sumljivo vedenje; zagon svchost.exe s parametri, ki kažejo na uporabniške mape, ali s parametri, podobnimi ukazoma »net view« ali »whoami«, je videti podobno. Tukaj je delček ustreznega :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themV InTrustu je vsa sumljiva vedenja vključena v eno pravilo, saj večina teh dejanj ni specifična za določeno grožnjo, temveč je sumljiva v kompleksu in se v 99% primerov uporablja za ne povsem plemenite namene. Ta seznam dejanj vključuje, vendar ni omejen na:
- Procesi, ki se izvajajo z neobičajnih lokacij, kot so uporabniške začasne mape.
- Dobro znani sistemski proces s sumljivim dedovanjem – nekatere grožnje lahko poskušajo uporabiti ime sistemskih procesov, da ostanejo neodkrite.
- Sumljive izvedbe skrbniških orodij, kot sta cmd ali PsExec, ko uporabljajo lokalne sistemske poverilnice ali sumljivo dedovanje.
- Sumljive operacije senčnega kopiranja so običajno vedenje izsiljevalskih virusov, preden šifrirajo sistem; uničijo varnostne kopije:
— Prek vssadmin.exe;
- Prek WMI. - Odlagališča registrov celotnih registrskih panjev.
- Horizontalno premikanje zlonamerne kode, ko se proces zažene na daljavo z uporabo ukazov, kot je at.exe.
- Sumljive operacije lokalne skupine in operacije domene z uporabo net.exe.
- Sumljiva dejavnost požarnega zidu z uporabo netsh.exe.
- Sumljiva manipulacija ACL.
- Uporaba BITS za ekstrakcijo podatkov.
- Sumljive manipulacije z WMI.
- Sumljivi skriptni ukazi.
- Poskusi izpisa varnih sistemskih datotek.
Kombinirano pravilo deluje zelo dobro pri odkrivanju groženj, kot so RUYK, LockerGoga in drugi kompleti orodij za izsiljevalsko programsko opremo, zlonamerno programsko opremo in kibernetski kriminal. Prodajalec je pravilo preizkusil v produkcijskih okoljih, da bi čim bolj zmanjšal lažne pozitivne rezultate. In zahvaljujoč projektu SIGMA večina teh indikatorjev povzroči minimalno število hrupa.
Ker V InTrustu je to pravilo nadzora, lahko izvedete odzivni skript kot reakcijo na grožnjo. Uporabite lahko enega od vgrajenih skriptov ali ustvarite svojega in InTrust ga bo samodejno razdelil.
Poleg tega lahko pregledate vso telemetrijo, povezano z dogodki: skripte PowerShell, izvajanje procesov, načrtovane manipulacije opravil, skrbniško dejavnost WMI in jih uporabite za obdukcije med varnostnimi incidenti.
InTrust ima na stotine drugih pravil, nekatera od njih:
- Zaznavanje napada PowerShell na nižjo različico je, ko nekdo namerno uporablja starejšo različico PowerShell, ker ... v starejši različici ni bilo mogoče preveriti, kaj se dogaja.
- Zaznavanje prijave z visokimi pravicami je, ko se računi, ki so člani določene privilegirane skupine (kot so skrbniki domene), prijavijo na delovne postaje po nesreči ali zaradi varnostnih incidentov.
InTrust vam omogoča uporabo najboljših varnostnih praks v obliki vnaprej določenih pravil za odkrivanje in odziv. In če menite, da bi moralo nekaj delovati drugače, lahko naredite lastno kopijo pravila in jo po potrebi konfigurirate. Vlogo za izvedbo pilota ali pridobitev distribucijskih kompletov z začasnimi licencami lahko oddate prek na naši spletni strani.
Naročite se na naše , tam objavljamo kratke zapiske in zanimive povezave.
Preberite naše druge članke o informacijski varnosti:
(poljuden članek)
Vir: www.habr.com