En av de vanligaste typerna av attacker är uppkomsten av en skadlig process i ett träd under fullständigt respektabla processer. Sökvägen till den körbara filen kan vara misstänkt: skadlig programvara använder ofta mapparna AppData eller Temp, och detta är inte typiskt för legitima program. För att vara rättvis är det värt att säga att vissa automatiska uppdateringsverktyg körs i AppData, så det räcker inte att bara kontrollera startplatsen för att bekräfta att programmet är skadligt.
En ytterligare legitimitetsfaktor är en kryptografisk signatur: många originalprogram är signerade av leverantören. Du kan använda det faktum att det inte finns någon signatur som en metod för att identifiera misstänkta startobjekt. Men det finns återigen skadlig programvara som använder ett stulet certifikat för att signera sig själv.
Du kan också kontrollera värdet på MD5 eller SHA256 kryptografiska hash, som kan motsvara viss tidigare upptäckt skadlig kod. Du kan utföra statisk analys genom att titta på signaturer i programmet (med Yara-regler eller antivirusprodukter). Det finns också dynamisk analys (att köra ett program i någon säker miljö och övervaka dess åtgärder) och omvänd ingenjörskonst.
Det kan finnas många tecken på en skadlig process. I den här artikeln kommer vi att berätta hur du aktiverar granskning av relevanta händelser i Windows, vi kommer att analysera de tecken som den inbyggda regeln bygger på för att identifiera en misstänkt process. InTrust är för insamling, analys och lagring av ostrukturerad data, som redan har hundratals fördefinierade reaktioner på olika typer av attacker.
När programmet startas laddas det in i datorns minne. Den körbara filen innehåller datorinstruktioner och stödjande bibliotek (till exempel *.dll). När en process redan körs kan den skapa ytterligare trådar. Trådar tillåter en process att exekvera olika uppsättningar instruktioner samtidigt. Det finns många sätt för skadlig kod att penetrera minnet och köra, låt oss titta på några av dem.
Det enklaste sättet att starta en skadlig process är att tvinga användaren att starta den direkt (till exempel från en e-postbilaga) och sedan använda RunOnce-tangenten för att starta den varje gång datorn slås på. Detta inkluderar även "fillös" skadlig programvara som lagrar PowerShell-skript i registernycklar som exekveras baserat på en trigger. I det här fallet är PowerShell-skriptet skadlig kod.
Problemet med att explicit köra skadlig programvara är att det är ett känt tillvägagångssätt som lätt kan upptäckas. En del skadlig programvara gör smartare saker, som att använda en annan process för att börja köra i minnet. Därför kan en process skapa en annan process genom att köra en specifik datorinstruktion och ange en körbar fil (.exe) som ska köras.
Filen kan anges med en fullständig sökväg (till exempel C:Windowssystem32cmd.exe) eller en partiell sökväg (till exempel cmd.exe). Om den ursprungliga processen är osäker kommer den att tillåta illegitima program att köras. En attack kan se ut så här: en process startar cmd.exe utan att ange hela sökvägen, angriparen placerar sin cmd.exe på en plats så att processen startar den före den legitima. När skadlig programvara körs kan den i sin tur starta ett legitimt program (som C:Windowssystem32cmd.exe) så att det ursprungliga programmet fortsätter att fungera korrekt.
En variant av den tidigare attacken är DLL-injektion i en legitim process. När en process startar, hittar och laddar den bibliotek som utökar dess funktionalitet. Med hjälp av DLL-injektion skapar en angripare ett skadligt bibliotek med samma namn och API som ett legitimt. Programmet laddar ett skadligt bibliotek, och det laddar i sin tur ett legitimt och, vid behov, anropar det för att utföra operationer. Det skadliga biblioteket börjar fungera som en proxy för det goda biblioteket.
Ett annat sätt att lägga in skadlig kod i minnet är att infoga den i en osäker process som redan körs. Processer tar emot input från olika källor - läsning från nätverket eller filer. De utför vanligtvis en kontroll för att säkerställa att inmatningen är legitim. Men vissa processer har inte ordentligt skydd vid exekvering av instruktioner. I en sådan attack finns det inget bibliotek på disken eller en körbar fil som innehåller skadlig kod. Allt lagras i minnet tillsammans med processen som utnyttjas.
Låt oss nu titta på metodiken för att möjliggöra insamling av sådana händelser i Windows och regeln i InTrust som implementerar skydd mot sådana hot. Låt oss först aktivera det via InTrust-hanteringskonsolen.
Regeln använder processspårningsfunktionerna i Windows OS. Tyvärr är det långt ifrån självklart att möjliggöra insamling av sådana händelser. Det finns 3 olika grupprincipinställningar som du behöver ändra:
Datorkonfiguration > Policyer > Windows-inställningar > Säkerhetsinställningar > Lokala policyer > Revisionspolicy > Granskningsprocessspårning
Datorkonfiguration > Policyer > Windows-inställningar > Säkerhetsinställningar > Avancerad revisionspolicykonfiguration > Revisionspolicyer > Detaljerad spårning > Skapa granskningsprocess
Datorkonfiguration > Politik > Administrativa mallar > System > Skapa granskningsprocess > Inkludera kommandorad i händelser för att skapa processer
När de är aktiverade låter InTrust-regler dig upptäcka tidigare okända hot som uppvisar misstänkt beteende. Du kan till exempel identifiera dig Dridex skadlig kod. Tack vare HP Bromium-projektet vet vi hur detta hot fungerar.
I sin kedja av åtgärder använder Dridex schtasks.exe för att skapa en schemalagd uppgift. Att använda detta särskilda verktyg från kommandoraden anses vara mycket misstänkt beteende; att starta svchost.exe med parametrar som pekar på användarmappar eller med parametrar som liknar kommandona "net view" eller "whoami" ser likadant ut. Här är ett fragment av motsvarande :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themI InTrust ingår allt misstänkt beteende i en regel, eftersom de flesta av dessa åtgärder inte är specifika för ett visst hot, utan snarare är misstänkta i ett komplex och i 99% av fallen används för inte helt ädla syften. Denna lista över åtgärder inkluderar, men är inte begränsad till:
- Processer som körs från ovanliga platser, till exempel användarens tillfälliga mappar.
- Välkänd systemprocess med misstänkt arv - vissa hot kan försöka använda namnet på systemprocesser för att förbli oupptäckta.
- Misstänkta körningar av administrativa verktyg som cmd eller PsExec när de använder lokala systemuppgifter eller misstänkt arv.
- Misstänkta skuggkopieringsoperationer är ett vanligt beteende hos ransomware-virus innan de krypterar ett system; de dödar säkerhetskopior:
— Via vssadmin.exe;
- Via WMI. - Registrera dumpningar av hela registerbikupor.
- Horisontell rörelse av skadlig kod när en process startas på distans med hjälp av kommandon som at.exe.
- Misstänkta lokal gruppoperationer och domänoperationer med net.exe.
- Misstänkt brandväggsaktivitet med netsh.exe.
- Misstänkt manipulation av ACL.
- Använder BITS för dataexfiltrering.
- Misstänkta manipulationer med WMI.
- Misstänkta skriptkommandon.
- Försök att dumpa säkra systemfiler.
Den kombinerade regeln fungerar mycket bra för att upptäcka hot som RUYK, LockerGoga och andra ransomware, malware och cyberbrottsverktyg. Regeln har testats av leverantören i produktionsmiljöer för att minimera falska positiva resultat. Och tack vare SIGMA-projektet producerar de flesta av dessa indikatorer ett minimalt antal brushändelser.
Därför att I InTrust är detta en övervakningsregel, du kan köra ett svarsskript som en reaktion på ett hot. Du kan använda ett av de inbyggda skripten eller skapa dina egna så distribuerar InTrust det automatiskt.
Dessutom kan du inspektera all händelserelaterad telemetri: PowerShell-skript, processexekvering, schemalagda uppgiftsmanipulationer, WMI-administrativ aktivitet och använda dem för obduktioner under säkerhetsincidenter.
InTrust har hundratals andra regler, några av dem:
- Att upptäcka en PowerShell-nedgraderingsattack är när någon medvetet använder en äldre version av PowerShell eftersom... i den äldre versionen fanns det inget sätt att granska vad som hände.
- Detektering av högprivilegierad inloggning är när konton som är medlemmar i en viss privilegierad grupp (som domänadministratörer) loggar in på arbetsstationer av misstag eller på grund av säkerhetsincidenter.
InTrust låter dig använda bästa säkerhetspraxis i form av fördefinierade detektions- och reaktionsregler. Och om du tycker att något borde fungera annorlunda kan du göra din egen kopia av regeln och konfigurera den efter behov. Du kan lämna in en ansökan om att genomföra en pilot eller erhålla distributionssatser med tillfälliga licenser genom på vår webbplats.
Prenumerera på vår , vi publicerar korta anteckningar och intressanta länkar där.
Läs våra andra artiklar om informationssäkerhet:
(populär artikel)
Källa: will.com