Ang isa sa mga pinakakaraniwang uri ng pag-atake ay ang paglitaw ng isang malisyosong proseso sa isang puno sa ilalim ng ganap na kagalang-galang na mga proseso. Maaaring kahina-hinala ang path patungo sa executable file: kadalasang ginagamit ng malware ang mga folder ng AppData o Temp, at hindi ito pangkaraniwan para sa mga lehitimong program. Upang maging patas, ito ay nagkakahalaga na sabihin na ang ilang mga awtomatikong pag-update ng mga utility ay naisakatuparan sa AppData, kaya ang pagsuri lamang sa lokasyon ng paglulunsad ay hindi sapat upang kumpirmahin na ang programa ay nakakahamak.
Ang isang karagdagang kadahilanan ng pagiging lehitimo ay isang cryptographic na lagda: maraming orihinal na programa ang nilagdaan ng vendor. Maaari mong gamitin ang katotohanan na walang lagda bilang isang paraan para sa pagtukoy ng mga kahina-hinalang startup item. Ngunit muli ay mayroong malware na gumagamit ng isang ninakaw na sertipiko upang mag-sign mismo.
Maaari mo ring tingnan ang halaga ng MD5 o SHA256 cryptographic na mga hash, na maaaring tumutugma sa ilang dating natukoy na malware. Maaari kang magsagawa ng static na pagsusuri sa pamamagitan ng pagtingin sa mga lagda sa programa (gamit ang mga panuntunan ng Yara o mga produktong antivirus). Mayroon ding dynamic na pagsusuri (pagpapatakbo ng isang programa sa ilang ligtas na kapaligiran at pagsubaybay sa mga aksyon nito) at reverse engineering.
Maaaring mayroong maraming mga palatandaan ng isang malisyosong proseso. Sa artikulong ito sasabihin namin sa iyo kung paano paganahin ang pag-audit ng mga nauugnay na kaganapan sa Windows, susuriin namin ang mga palatandaan na umaasa ang built-in na panuntunan upang matukoy ang isang kahina-hinalang proseso. Ang InTrust ay para sa pagkolekta, pagsusuri at pag-iimbak ng hindi nakaayos na data, na mayroon nang daan-daang mga paunang natukoy na reaksyon sa iba't ibang uri ng pag-atake.
Kapag ang programa ay inilunsad, ito ay na-load sa memorya ng computer. Ang executable file ay naglalaman ng mga tagubilin sa computer at mga sumusuportang library (halimbawa, *.dll). Kapag tumatakbo na ang isang proseso, maaari itong lumikha ng mga karagdagang thread. Ang mga thread ay nagbibigay-daan sa isang proseso na magsagawa ng iba't ibang hanay ng mga tagubilin nang sabay-sabay. Mayroong maraming mga paraan para sa malisyosong code na tumagos sa memorya at tumakbo, tingnan natin ang ilan sa mga ito.
Ang pinakamadaling paraan upang maglunsad ng malisyosong proseso ay ang pilitin ang user na ilunsad ito nang direkta (halimbawa, mula sa isang email attachment), pagkatapos ay gamitin ang RunOnce key upang ilunsad ito sa tuwing naka-on ang computer. Kasama rin dito ang malware na "walang file" na nag-iimbak ng mga script ng PowerShell sa mga registry key na pinaandar batay sa isang trigger. Sa kasong ito, ang PowerShell script ay malisyosong code.
Ang problema sa tahasang pagpapatakbo ng malware ay isa itong kilalang diskarte na madaling matukoy. Ang ilang malware ay gumagawa ng mas matalinong mga bagay, tulad ng paggamit ng isa pang proseso upang simulan ang pagpapatupad sa memorya. Samakatuwid, ang isang proseso ay maaaring lumikha ng isa pang proseso sa pamamagitan ng pagpapatakbo ng isang partikular na pagtuturo sa computer at pagtukoy ng isang executable file (.exe) na tatakbo.
Maaaring tukuyin ang file gamit ang isang buong path (halimbawa, C:Windowssystem32cmd.exe) o isang partial path (halimbawa, cmd.exe). Kung hindi secure ang orihinal na proseso, papayagan nitong tumakbo ang mga hindi lehitimong programa. Ang isang pag-atake ay maaaring magmukhang ganito: ang isang proseso ay naglulunsad ng cmd.exe nang hindi tinukoy ang buong landas, inilalagay ng umaatake ang kanyang cmd.exe sa isang lugar upang ang proseso ay inilunsad ito bago ang lehitimong isa. Sa sandaling tumakbo ang malware, maaari naman itong maglunsad ng isang lehitimong programa (tulad ng C:Windowssystem32cmd.exe) upang ang orihinal na programa ay patuloy na gumana nang maayos.
Ang isang pagkakaiba-iba ng nakaraang pag-atake ay ang DLL injection sa isang lehitimong proseso. Kapag nagsimula ang isang proseso, hahanapin at ini-load nito ang mga aklatan na nagpapalawak ng functionality nito. Gamit ang DLL injection, ang isang attacker ay gumagawa ng isang malisyosong library na may parehong pangalan at API bilang isang lehitimong library. Ang programa ay naglo-load ng isang malisyosong aklatan, at ito naman, ay naglo-load ng isang lehitimong aklatan, at, kung kinakailangan, tinawag ito upang magsagawa ng mga operasyon. Nagsisimulang kumilos ang malisyosong library bilang proxy para sa magandang library.
Ang isa pang paraan upang ilagay ang malisyosong code sa memorya ay ang pagpasok nito sa isang hindi ligtas na proseso na tumatakbo na. Ang mga proseso ay tumatanggap ng input mula sa iba't ibang mga mapagkukunan - pagbabasa mula sa network o mga file. Karaniwan silang nagsasagawa ng pagsusuri upang matiyak na lehitimo ang input. Ngunit ang ilang mga proseso ay walang tamang proteksyon kapag nagsasagawa ng mga tagubilin. Sa pag-atakeng ito, walang library sa disk o executable file na naglalaman ng malisyosong code. Ang lahat ay nakaimbak sa memorya kasama ang prosesong pinagsamantalahan.
Ngayon tingnan natin ang pamamaraan para sa pagpapagana ng koleksyon ng mga naturang kaganapan sa Windows at ang panuntunan sa InTrust na nagpapatupad ng proteksyon laban sa mga naturang banta. Una, i-activate natin ito sa pamamagitan ng InTrust management console.
Ginagamit ng panuntunan ang mga kakayahan sa pagsubaybay sa proseso ng Windows OS. Sa kasamaang palad, ang pagpapagana sa koleksyon ng mga naturang kaganapan ay malayo sa halata. Mayroong 3 magkakaibang setting ng Patakaran sa Grupo na kailangan mong baguhin:
Configuration ng Computer > Mga Patakaran > Mga Setting ng Windows > Mga Setting ng Seguridad > Mga Lokal na Patakaran > Patakaran sa Pag-audit > Pagsubaybay sa proseso ng pag-audit
Computer Configuration > Mga Patakaran > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policy > Detalyadong Pagsubaybay > Paggawa ng proseso ng audit
Computer Configuration > Mga Patakaran > Administrative Templates > System > Audit Process Creation > Isama ang command line sa mga event ng paggawa ng proseso
Kapag na-enable na, binibigyang-daan ka ng mga panuntunan ng InTrust na matukoy ang mga dati nang hindi kilalang banta na nagpapakita ng kahina-hinalang gawi. Halimbawa, maaari mong kilalanin Dridex malware. Salamat sa proyekto ng HP Bromium, alam namin kung paano gumagana ang banta na ito.
Sa chain of actions nito, gumagamit si Dridex ng schtasks.exe para gumawa ng nakaiskedyul na gawain. Ang paggamit ng partikular na utility na ito mula sa command line ay itinuturing na napakahinalang gawi; ang paglulunsad ng svchost.exe na may mga parameter na tumuturo sa mga folder ng user o may mga parameter na katulad ng "net view" o "whoami" na mga utos ay mukhang magkatulad. Narito ang isang fragment ng kaukulang :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themSa InTrust, ang lahat ng kahina-hinalang pag-uugali ay kasama sa isang panuntunan, dahil karamihan sa mga pagkilos na ito ay hindi partikular sa isang partikular na banta, ngunit sa halip ay kahina-hinala sa isang kumplikado at sa 99% ng mga kaso ay ginagamit para sa hindi ganap na marangal na layunin. Kasama sa listahang ito ng mga aksyon, ngunit hindi limitado sa:
- Mga prosesong tumatakbo mula sa hindi pangkaraniwang mga lokasyon, gaya ng mga pansamantalang folder ng user.
- Kilalang proseso ng system na may kahina-hinalang inheritance - maaaring subukan ng ilang banta na gamitin ang pangalan ng mga proseso ng system upang manatiling hindi natukoy.
- Mga kahina-hinalang execution ng administrative tool gaya ng cmd o PsExec kapag gumagamit sila ng mga kredensyal ng lokal na system o kahina-hinalang mana.
- Ang mga kahina-hinalang operasyon ng shadow copy ay isang karaniwang pag-uugali ng mga virus ng ransomware bago i-encrypt ang isang system; pinapatay nila ang mga backup:
β Sa pamamagitan ng vssadmin.exe;
- Sa pamamagitan ng WMI. - Magrehistro ng mga dump ng buong registry hives.
- Pahalang na paggalaw ng malisyosong code kapag ang isang proseso ay inilunsad nang malayuan gamit ang mga command gaya ng at.exe.
- Mga kahina-hinalang lokal na pagpapatakbo ng grupo at pagpapatakbo ng domain gamit ang net.exe.
- Kahina-hinalang aktibidad ng firewall gamit ang netsh.exe.
- Kahina-hinalang pagmamanipula ng ACL.
- Paggamit ng BITS para sa exfiltration ng data.
- Mga kahina-hinalang manipulasyon sa WMI.
- Mga kahina-hinalang utos ng script.
- Mga pagtatangka na itapon ang mga secure na file ng system.
Gumagana nang mahusay ang pinagsamang panuntunan upang matukoy ang mga banta gaya ng RUYK, LockerGoga at iba pang ransomware, malware at cybercrime toolkit. Ang panuntunan ay sinubukan ng vendor sa mga kapaligiran ng produksyon upang mabawasan ang mga maling positibo. At salamat sa proyekto ng SIGMA, karamihan sa mga tagapagpahiwatig na ito ay gumagawa ng kaunting bilang ng mga kaganapan sa ingay.
kasi Sa InTrust isa itong panuntunan sa pagsubaybay, maaari kang magsagawa ng script ng tugon bilang reaksyon sa isang banta. Maaari mong gamitin ang isa sa mga built-in na script o lumikha ng iyong sarili at awtomatikong ipapamahagi ito ng InTrust.
Bilang karagdagan, maaari mong suriin ang lahat ng telemetry na nauugnay sa kaganapan: mga script ng PowerShell, pagpapatupad ng proseso, mga naka-iskedyul na pagmamanipula ng gawain, aktibidad na administratibo ng WMI, at gamitin ang mga ito para sa mga post-mortem sa panahon ng mga insidente sa seguridad.
Ang InTrust ay may daan-daang iba pang mga panuntunan, ang ilan sa mga ito:
- Ang pag-detect ng PowerShell downgrade attack ay kapag may taong sadyang gumamit ng mas lumang bersyon ng PowerShell dahil... sa mas lumang bersyon ay walang paraan upang i-audit kung ano ang nangyayari.
- Ang high-privilege logon detection ay kapag ang mga account na miyembro ng isang partikular na privileged group (gaya ng mga domain administrator) ay nag-log on sa mga workstation nang hindi sinasadya o dahil sa mga insidente sa seguridad.
Binibigyang-daan ka ng InTrust na gumamit ng pinakamahuhusay na kagawian sa seguridad sa anyo ng mga paunang natukoy na panuntunan sa pagtuklas at pagtugon. At kung sa tingin mo ay dapat gumana nang iba ang isang bagay, maaari kang gumawa ng sarili mong kopya ng panuntunan at i-configure ito kung kinakailangan. Maaari kang magsumite ng aplikasyon para sa pagsasagawa ng isang piloto o pagkuha ng mga distribution kit na may mga pansamantalang lisensya sa pamamagitan ng sa aming website.
Mag-subscribe sa aming , nag-publish kami ng mga maikling tala at mga kawili-wiling link doon.
Basahin ang aming iba pang mga artikulo sa seguridad ng impormasyon:
(tanyag na artikulo)
Pinagmulan: www.habr.com