การโจมตีประเภทหนึ่งที่พบบ่อยที่สุดคือการวางกระบวนการที่เป็นอันตรายในแผนผังภายใต้กระบวนการที่น่านับถืออย่างสมบูรณ์ เส้นทางไปยังไฟล์ปฏิบัติการอาจเป็นที่น่าสงสัย: มัลแวร์มักใช้โฟลเดอร์ AppData หรือ Temp และนี่ไม่ใช่เรื่องปกติสำหรับโปรแกรมที่ถูกกฎหมาย พูดตามตรง เป็นเรื่องที่ควรค่าแก่การกล่าวว่ายูทิลิตี้อัปเดตอัตโนมัติบางตัวดำเนินการใน AppData ดังนั้นการตรวจสอบตำแหน่งการเปิดตัวจึงไม่เพียงพอที่จะยืนยันว่าโปรแกรมนั้นเป็นอันตราย
ปัจจัยเพิ่มเติมของความถูกต้องตามกฎหมายคือลายเซ็นเข้ารหัส: โปรแกรมดั้งเดิมหลายโปรแกรมได้รับการลงนามโดยผู้จำหน่าย คุณสามารถใช้ความจริงที่ว่าไม่มีลายเซ็นเป็นวิธีการในการระบุรายการเริ่มต้นที่น่าสงสัย แต่กลับมีมัลแวร์ที่ใช้ใบรับรองที่ถูกขโมยเพื่อเซ็นชื่อในตัวเอง
คุณยังสามารถตรวจสอบค่าของแฮชที่เข้ารหัส MD5 หรือ SHA256 ซึ่งอาจสอดคล้องกับมัลแวร์บางตัวที่ตรวจพบก่อนหน้านี้ คุณสามารถดำเนินการวิเคราะห์แบบคงที่ได้โดยดูที่ลายเซ็นในโปรแกรม (โดยใช้กฎของ Yara หรือผลิตภัณฑ์ป้องกันไวรัส) นอกจากนี้ยังมีการวิเคราะห์แบบไดนามิก (การรันโปรแกรมในสภาพแวดล้อมที่ปลอดภัยและติดตามการทำงานของโปรแกรม) และวิศวกรรมย้อนกลับ
อาจมีสัญญาณบ่งชี้กระบวนการที่เป็นอันตรายได้หลายประการ ในบทความนี้เราจะบอกวิธีเปิดใช้งานการตรวจสอบเหตุการณ์ที่เกี่ยวข้องใน Windows เราจะวิเคราะห์สัญญาณที่กฎในตัวอาศัย เพื่อระบุกระบวนการที่น่าสงสัย อินทรัสต์คือ สำหรับการรวบรวม วิเคราะห์ และจัดเก็บข้อมูลที่ไม่มีโครงสร้าง ซึ่งมีการตอบสนองที่กำหนดไว้ล่วงหน้าหลายร้อยรายการต่อการโจมตีประเภทต่างๆ
เมื่อเปิดโปรแกรมขึ้นมา โปรแกรมจะถูกโหลดเข้าสู่หน่วยความจำของคอมพิวเตอร์ ไฟล์ปฏิบัติการประกอบด้วยคำสั่งคอมพิวเตอร์และไลบรารีที่รองรับ (เช่น *.dll) เมื่อกระบวนการกำลังทำงานอยู่ กระบวนการจะสามารถสร้างเธรดเพิ่มเติมได้ เธรดอนุญาตให้กระบวนการดำเนินการชุดคำสั่งที่แตกต่างกันพร้อมกัน มีหลายวิธีสำหรับโค้ดที่เป็นอันตรายในการเจาะหน่วยความจำและเรียกใช้ มาดูบางส่วนกัน
วิธีที่ง่ายที่สุดในการเปิดกระบวนการที่เป็นอันตรายคือการบังคับให้ผู้ใช้เปิดใช้งานโดยตรง (เช่น จากไฟล์แนบอีเมล) จากนั้นใช้ปุ่ม RunOnce เพื่อเปิดใช้งานทุกครั้งที่เปิดคอมพิวเตอร์ นอกจากนี้ยังรวมถึงมัลแวร์ “ไร้ไฟล์” ที่เก็บสคริปต์ PowerShell ไว้ในรีจิสตรีคีย์ที่ดำเนินการตามทริกเกอร์ ในกรณีนี้ สคริปต์ PowerShell เป็นโค้ดที่เป็นอันตราย
ปัญหาในการใช้งานมัลแวร์อย่างชัดเจนคือเป็นแนวทางที่ทราบและตรวจพบได้ง่าย มัลแวร์บางตัวทำสิ่งที่ชาญฉลาดกว่า เช่น การใช้กระบวนการอื่นเพื่อเริ่มดำเนินการในหน่วยความจำ ดังนั้น กระบวนการสามารถสร้างกระบวนการอื่นได้โดยการรันคำสั่งคอมพิวเตอร์เฉพาะ และระบุไฟล์ปฏิบัติการ (.exe) ที่จะรัน
สามารถระบุไฟล์ได้โดยใช้พาธแบบเต็ม (เช่น C:Windowssystem32cmd.exe) หรือพาธบางส่วน (เช่น cmd.exe) หากกระบวนการดั้งเดิมไม่ปลอดภัย จะอนุญาตให้โปรแกรมที่ผิดกฎหมายทำงานได้ การโจมตีอาจมีลักษณะดังนี้: กระบวนการเปิดตัว cmd.exe โดยไม่ระบุเส้นทางแบบเต็ม ผู้โจมตีจะวาง cmd.exe ไว้ในตำแหน่งเพื่อให้กระบวนการเปิดตัวก่อนกระบวนการที่ถูกต้อง เมื่อมัลแวร์ทำงาน มัลแวร์ก็สามารถเปิดโปรแกรมที่ถูกต้องได้ (เช่น C:Windowssystem32cmd.exe) เพื่อให้โปรแกรมดั้งเดิมทำงานต่อไปได้อย่างถูกต้อง
รูปแบบของการโจมตีครั้งก่อนคือการแทรก DLL เข้าสู่กระบวนการที่ถูกต้องตามกฎหมาย เมื่อกระบวนการเริ่มต้น กระบวนการจะค้นหาและโหลดไลบรารีที่ขยายฟังก์ชันการทำงาน การใช้การแทรก DLL ผู้โจมตีจะสร้างไลบรารีที่เป็นอันตรายโดยใช้ชื่อและ API เดียวกันกับไลบรารีที่ถูกต้อง โปรแกรมจะโหลดไลบรารี่ที่เป็นอันตราย และในทางกลับกันจะโหลดไลบรารี่ที่ถูกต้องตามกฎหมาย และเรียกใช้ไลบรารีดังกล่าวเพื่อดำเนินการตามที่จำเป็น ไลบรารีที่เป็นอันตรายเริ่มทำหน้าที่เป็นพร็อกซีสำหรับไลบรารีที่ดี
อีกวิธีในการใส่โค้ดที่เป็นอันตรายลงในหน่วยความจำคือการแทรกลงในกระบวนการที่ไม่ปลอดภัยซึ่งกำลังทำงานอยู่ กระบวนการรับอินพุตจากแหล่งต่าง ๆ - การอ่านจากเครือข่ายหรือไฟล์ โดยทั่วไปแล้วจะทำการตรวจสอบเพื่อให้แน่ใจว่าข้อมูลที่ป้อนนั้นถูกต้องตามกฎหมาย แต่กระบวนการบางอย่างไม่มีการป้องกันที่เหมาะสมเมื่อดำเนินการตามคำแนะนำ ในการโจมตีครั้งนี้ ไม่มีไลบรารี่บนดิสก์หรือไฟล์ปฏิบัติการที่มีโค้ดที่เป็นอันตราย ทุกอย่างจะถูกเก็บไว้ในหน่วยความจำพร้อมกับกระบวนการที่ถูกโจมตี
ตอนนี้เรามาดูวิธีการเปิดใช้งานการรวบรวมเหตุการณ์ดังกล่าวใน Windows และกฎใน InTrust ที่ใช้การป้องกันภัยคุกคามดังกล่าว ขั้นแรก มาเปิดใช้งานผ่านคอนโซลการจัดการ InTrust กัน
กฎใช้ความสามารถในการติดตามกระบวนการของ Windows OS น่าเสียดายที่การเปิดใช้งานการรวบรวมเหตุการณ์ดังกล่าวยังห่างไกลจากความชัดเจน มีการตั้งค่านโยบายกลุ่มที่แตกต่างกัน 3 แบบที่คุณต้องเปลี่ยน:
การกำหนดค่าคอมพิวเตอร์ > นโยบาย > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายท้องถิ่น > นโยบายการตรวจสอบ > การติดตามกระบวนการตรวจสอบ
การกำหนดค่าคอมพิวเตอร์ > นโยบาย > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > การกำหนดค่านโยบายการตรวจสอบขั้นสูง > นโยบายการตรวจสอบ > การติดตามโดยละเอียด > การสร้างกระบวนการตรวจสอบ
การกำหนดค่าคอมพิวเตอร์ > นโยบาย > เทมเพลตการดูแลระบบ > ระบบ > การสร้างกระบวนการตรวจสอบ > รวมบรรทัดคำสั่งในเหตุการณ์การสร้างกระบวนการ
เมื่อเปิดใช้งาน กฎ InTrust จะช่วยให้คุณสามารถตรวจจับภัยคุกคามที่ไม่รู้จักก่อนหน้านี้ซึ่งมีพฤติกรรมที่น่าสงสัย ตัวอย่างเช่น คุณสามารถระบุได้ มัลแวร์ Dridex ต้องขอบคุณโครงการ HP Bromium ที่ทำให้เรารู้ว่าภัยคุกคามนี้ทำงานอย่างไร
ในห่วงโซ่การดำเนินการ Dridex ใช้ schtasks.exe เพื่อสร้างงานที่กำหนดเวลาไว้ การใช้ยูทิลิตี้นี้จากบรรทัดคำสั่งถือเป็นพฤติกรรมที่น่าสงสัยมาก การเรียกใช้ svchost.exe ด้วยพารามิเตอร์ที่ชี้ไปที่โฟลเดอร์ผู้ใช้หรือด้วยพารามิเตอร์ที่คล้ายกับคำสั่ง "net view" หรือ "whoami" มีลักษณะคล้ายกัน นี่คือส่วนหนึ่งของสิ่งที่เกี่ยวข้อง :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themใน InTrust พฤติกรรมที่น่าสงสัยทั้งหมดจะรวมอยู่ในกฎเดียว เนื่องจากการกระทำเหล่านี้ส่วนใหญ่ไม่ได้เฉพาะเจาะจงกับภัยคุกคามใดโดยเฉพาะ แต่เป็นที่น่าสงสัยในส่วนที่ซับซ้อน และใน 99% ของกรณีถูกใช้เพื่อวัตถุประสงค์ที่ไม่สูงส่งทั้งหมด รายการการดำเนินการนี้รวมถึงแต่ไม่จำกัดเพียง:
- กระบวนการที่ทำงานจากตำแหน่งที่ผิดปกติ เช่น โฟลเดอร์ชั่วคราวของผู้ใช้
- กระบวนการของระบบที่รู้จักกันดีซึ่งมีการสืบทอดที่น่าสงสัย - ภัยคุกคามบางอย่างอาจพยายามใช้ชื่อของกระบวนการของระบบเพื่อไม่ให้ตรวจพบ
- การดำเนินการที่น่าสงสัยของเครื่องมือการดูแลระบบ เช่น cmd หรือ PsExec เมื่อใช้ข้อมูลประจำตัวของระบบภายในเครื่องหรือการสืบทอดที่น่าสงสัย
- การดำเนินการ Shadow Copy ที่น่าสงสัยเป็นพฤติกรรมทั่วไปของไวรัสแรนซัมแวร์ก่อนที่จะเข้ารหัสระบบ โดยจะทำลายการสำรองข้อมูล:
— ผ่าน vssadmin.exe;
- ผ่านทาง WMI - ลงทะเบียนการถ่ายโอนข้อมูลของกลุ่มรีจิสทรีทั้งหมด
- การเคลื่อนย้ายโค้ดที่เป็นอันตรายในแนวนอนเมื่อกระบวนการถูกเรียกใช้จากระยะไกลโดยใช้คำสั่ง เช่น at.exe
- การดำเนินงานกลุ่มท้องถิ่นและการดำเนินงานโดเมนที่น่าสงสัยโดยใช้ net.exe
- กิจกรรมไฟร์วอลล์ที่น่าสงสัยโดยใช้ netsh.exe
- การจัดการ ACL ที่น่าสงสัย
- การใช้ BITS เพื่อกรองข้อมูล
- การจัดการที่น่าสงสัยกับ WMI
- คำสั่งสคริปต์ที่น่าสงสัย
- ความพยายามในการถ่ายโอนข้อมูลไฟล์ระบบที่ปลอดภัย
กฎที่รวมกันนี้ทำงานได้ดีมากในการตรวจจับภัยคุกคาม เช่น RUYK, LockerGoga และแรนซัมแวร์ มัลแวร์ และชุดเครื่องมืออาชญากรรมไซเบอร์อื่นๆ กฎได้รับการทดสอบโดยผู้จัดจำหน่ายในสภาพแวดล้อมการใช้งานจริงเพื่อลดผลบวกลวงให้เหลือน้อยที่สุด และด้วยโครงการ SIGMA ตัวชี้วัดเหล่านี้ส่วนใหญ่จึงทำให้เกิดเหตุการณ์เสียงรบกวนน้อยที่สุด
เพราะ ใน InTrust นี่เป็นกฎการตรวจสอบ คุณสามารถรันสคริปต์ตอบกลับเพื่อตอบสนองต่อภัยคุกคามได้ คุณสามารถใช้สคริปต์ในตัวตัวใดตัวหนึ่งหรือสร้างสคริปต์ของคุณเองได้ แล้ว InTrust จะแจกจ่ายสคริปต์นั้นโดยอัตโนมัติ
นอกจากนี้ คุณสามารถตรวจสอบการวัดและส่งข้อมูลทางไกลที่เกี่ยวข้องกับเหตุการณ์ทั้งหมดได้: สคริปต์ PowerShell, การดำเนินการตามกระบวนการ, การจัดการงานที่กำหนดเวลาไว้, กิจกรรมการดูแลระบบ WMI และใช้สำหรับการตรวจชันสูตรในระหว่างเหตุการณ์ด้านความปลอดภัย
InTrust มีกฎอื่นๆ หลายร้อยกฎ บางกฎ:
- การตรวจจับการโจมตีดาวน์เกรด PowerShell เกิดขึ้นเมื่อมีคนจงใจใช้ PowerShell เวอร์ชันเก่าเพราะ... ในเวอร์ชันเก่าไม่มีวิธีตรวจสอบสิ่งที่เกิดขึ้น
- การตรวจหาการเข้าสู่ระบบที่มีสิทธิ์การใช้งานสูงคือเมื่อบัญชีที่เป็นสมาชิกของกลุ่มสิทธิพิเศษบางกลุ่ม (เช่น ผู้ดูแลระบบโดเมน) เข้าสู่ระบบเวิร์กสเตชันโดยไม่ได้ตั้งใจหรือเนื่องจากเหตุการณ์ด้านความปลอดภัย
InTrust ช่วยให้คุณใช้แนวปฏิบัติด้านความปลอดภัยที่ดีที่สุดในรูปแบบของกฎการตรวจจับและการตอบสนองที่กำหนดไว้ล่วงหน้า และหากคุณคิดว่าบางสิ่งควรทำงานแตกต่างออกไป คุณสามารถสร้างสำเนากฎของคุณเองและกำหนดค่าได้ตามต้องการ ท่านสามารถยื่นคำร้องเพื่อดำเนินการนำร่องหรือขอรับชุดแจกจ่ายพร้อมใบอนุญาตชั่วคราวได้ทาง บนเว็บไซต์ของเรา
สมัครสมาชิกของเรา เราเผยแพร่บันทึกย่อและลิงก์ที่น่าสนใจที่นั่น
อ่านบทความอื่น ๆ ของเราเกี่ยวกับความปลอดภัยของข้อมูล:
(บทความยอดนิยม)
ที่มา: will.com