Ang isang karaniwang uri ng pag-atake ay kinabibilangan ng paglulunsad ng isang malisyosong proseso sa isang puno sa ilalim ng tila lehitimong mga proseso. Ang path patungo sa executable file ay maaaring magdulot ng hinala: ang malware ay kadalasang gumagamit ng mga folder ng AppData o Temp, na hindi pangkaraniwan para sa mga lehitimong programa. Sa totoo lang, ang ilang mga automatic update utility ay tumatakbo sa AppData, kaya ang pagsuri lamang sa lokasyon ng paglulunsad ay hindi sapat upang kumpirmahin na ang programa ay malisyoso.
Isang karagdagang salik ng pagiging lehitimo ay ang isang cryptographic signature: maraming orihinal na programa ang nilagdaan ng vendor. Ang kawalan ng lagda ay maaaring gamitin upang matukoy ang mga kahina-hinalang startup item. Gayunpaman, mayroon ding malware na gumagamit ng ninakaw na sertipiko upang lagdaan ang sarili nito.
Maaari mo ring suriin ang mga halaga ng MD5 o SHA256 cryptographic hash, na maaaring tumugma sa ilang dating natukoy na malware. Maaari kang magsagawa ng static analysis sa pamamagitan ng pagtingin sa mga lagda sa programa (gamit ang mga panuntunan ng Yara o mga produktong antivirus). Mayroon ding dynamic analysis (pagpapatakbo ng programa sa isang ligtas na kapaligiran at pagsubaybay sa mga aksyon nito) at reverse engineering.
Maraming senyales ng isang malisyosong proseso. Sa artikulong ito, ipapaliwanag namin kung paano paganahin ang pag-audit ng mga kaugnay na kaganapan sa Windows, tingnan natin ang mga tampok kung saan nakabatay ang built-in na panuntunan upang matukoy ang isang kahina-hinalang proseso. Ang InTrust ay para sa pagkolekta, pagsusuri, at pag-iimbak ng hindi nakaistrukturang datos, na mayroon nang daan-daang paunang natukoy na mga tugon sa iba't ibang uri ng pag-atake.
Kapag inilunsad ang isang programa, ito ay nilo-load sa memorya ng computer. Ang executable file ay naglalaman ng mga tagubilin sa computer at mga sumusuportang library (hal., *.dll). Kapag tumatakbo na ang isang proseso, maaari itong lumikha ng mga karagdagang thread. Pinapayagan ng mga thread ang isang proseso na magsagawa ng iba't ibang hanay ng mga tagubilin nang sabay-sabay. Maraming paraan para makapasok ang malisyosong code sa memorya at maisagawa; tingnan natin ang ilan sa mga ito.
Ang pinakasimpleng paraan upang maglunsad ng isang malisyosong proseso ay ang linlangin ang user na ilunsad ito nang direkta (halimbawa, mula sa isang email attachment), pagkatapos ay gamitin ang RunOnce key upang ilunsad ito sa tuwing bubuksan ang computer. Kasama rin dito ang "fileless" malware na nag-iimbak ng mga PowerShell script sa mga registry key na isinasagawa batay sa isang trigger. Sa kasong ito, ang PowerShell script ay ang malisyosong code.
Ang problema sa tahasang paglulunsad ng malware ay isa itong kilalang pamamaraan at madaling matukoy. Ang ilang malware ay kumukuha ng mas banayad na mga hakbang, tulad ng paggamit ng ibang proseso upang simulan ang pagpapatupad sa memorya. Ang prosesong ito ay maaaring lumikha ng isa pang proseso sa pamamagitan ng pagpapatakbo ng isang partikular na tagubilin sa computer at pagtukoy ng isang executable file (.exe) na ilulunsad.
Maaaring tukuyin ang file gamit ang buong path (hal. C:Windowssystem32cmd.exe) o isang hindi kumpletong proseso (halimbawa, cmd.exe). Kung ang orihinal na proseso ay hindi ligtas, papayagan nito ang mga iligal na programa na tumakbo. Ang pag-atake ay maaaring magmukhang ganito: inilulunsad ng isang proseso ang cmd.exe nang hindi tinutukoy ang buong landas, at inilalagay ng umaatake ang kanilang cmd.exe sa isang lokasyon kung saan inilulunsad ito ng proseso bago ang lehitimong landas. Pagkatapos ilunsad, ang malisyosong programa ay maaari namang maglunsad ng isang lehitimong programa (halimbawa, C:Windowssystem32cmd.exe) upang patuloy na gumana nang maayos ang orihinal na programa.
Ang isang baryasyon ng nakaraang pag-atake ay ang pag-iniksyon ng DLL sa isang lehitimong proseso. Kapag nagsimula ang proseso, hahanapin at ilo-load nito ang mga library na nagpapalawak sa functionality nito. Gamit ang DLL injection, lilikha ang attacker ng isang malisyosong library na may parehong pangalan at API gaya ng lehitimong library. Lo-load ng programa ang malisyosong library, na siya namang maglo-load ng lehitimong library at tatawagin ito kung kinakailangan upang magsagawa ng mga operasyon. Pagkatapos, ang malisyosong library ay magsisilbing proxy para sa lehitimong library.
Ang isa pang paraan upang maglagay ng malisyosong code sa memorya ay ang paglalagay nito sa isang hindi ligtas na proseso na tumatakbo na. Ang mga proseso ay tumatanggap ng input mula sa iba't ibang mapagkukunan, tulad ng network o mga file. Karaniwan silang nagsasagawa ng mga pagsusuri sa pagpapatunay upang matiyak na lehitimo ang input. Gayunpaman, ang ilang mga proseso ay walang sapat na proteksyon kapag nagsasagawa ng mga tagubilin. Sa ganitong uri ng pag-atake, walang on-disk library o executable file na naglalaman ng malisyosong code. Ang lahat ay nakaimbak sa memorya kasama ng prosesong ginagamit.
Ngayon, tingnan natin ang metodolohiya para maisama ang koleksyon ng mga naturang kaganapan sa Windows At gamit ang isang tuntunin ng InTrust na nagpapatupad ng proteksyon laban sa mga naturang banta. Una, ia-activate natin ito sa pamamagitan ng InTrust management console.
Ginagamit ng panuntunan ang mga kakayahan sa pagsubaybay sa mga proseso ng OS WindowsSa kasamaang palad, ang pagpapagana ng pangongolekta ng mga naturang kaganapan ay hindi madali. Tatlong magkakaibang setting ng Patakaran sa Grupo ang kailangang baguhin:
Pag-configure ng Computer > Mga Patakaran > Windows Mga Setting > Mga Setting ng Seguridad > Mga Lokal na Patakaran > Patakaran sa Pag-audit > Pagsubaybay sa proseso ng pag-audit
Pag-configure ng Computer > Mga Patakaran > Windows Mga Setting > Mga Setting ng Seguridad > Pag-configure ng Advanced na Patakaran sa Pag-audit > Mga Patakaran sa Pag-audit > Detalyadong Pagsubaybay > Paglikha ng proseso ng pag-audit
Pag-configure ng Computer > Mga Patakaran > Mga Administrative Template > Sistema > Paglikha ng Proseso ng Audit > Isama ang command line sa mga kaganapan sa paglikha ng proseso
Kapag na-enable na, pinapayagan ka ng mga panuntunan ng InTrust na matukoy ang mga dating hindi kilalang banta na nagpapakita ng kahina-hinalang pag-uugali. Halimbawa, maaari mong matukoy Malware na Dridex. Dahil sa proyektong HP Bromium, alam na ang istruktura ng banta na ito.
Sa hanay ng mga aksyon nito, ginagamit ng Dridex ang schtasks.exe upang lumikha ng isang naka-iskedyul na gawain. Ang paggamit ng partikular na utility na ito mula sa command line ay itinuturing na lubhang kahina-hinalang pag-uugali. Ang paglulunsad ng svchost.exe gamit ang mga parameter na tumuturo sa mga folder ng user o may mga parameter na katulad ng mga utos na "net view" o "whoami" ay magkatulad. Narito ang isang bahagi ng kaukulang utos. :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themSa InTrust, lahat ng kahina-hinalang pag-uugali ay kasama sa iisang panuntunan dahil karamihan sa mga aksyong ito ay hindi partikular sa isang partikular na banta, ngunit sa halip ay kahina-hinala sa pangkalahatan at, sa 99% ng mga kaso, ay ginagamit para sa mga layuning hindi gaanong marangal. Kasama sa listahang ito ng mga aksyon ang, ngunit hindi limitado sa:
- Mga prosesong tumatakbo mula sa mga hindi pangkaraniwang lokasyon, tulad ng mga pansamantalang folder ng gumagamit.
- Kilalang proseso ng sistema na may kahina-hinalang pagmamana - Maaaring subukan ng ilang banta na gamitin ang pangalan ng mga proseso ng sistema upang manatiling hindi matukoy.
- Mga kahina-hinalang pagpapatupad ng mga administratibong tool tulad ng cmd o PsExec kapag gumagamit ang mga ito ng mga lokal na kredensyal ng system o kahina-hinalang mana.
- Ang mga kahina-hinalang operasyon ng shadow copy ay isang karaniwang pag-uugali ng ransomware bago i-encrypt ang isang sistema; sinisira nila ang mga backup:
— Sa pamamagitan ng vssadmin.exe;
— Sa pamamagitan ng WMI. - Mga registry dumps ng buong registry hives.
- Paggalaw sa gilid ng malisyosong code sa pamamagitan ng malayuan na paglulunsad ng isang proseso gamit ang mga utos tulad ng at.exe.
- Mga kahina-hinalang operasyon ng lokal na grupo at mga operasyon ng domain gamit ang net.exe.
- Kahina-hinalang aktibidad ng firewall gamit ang netsh.exe.
- Kahina-hinalang manipulasyon ng ACL.
- Paggamit ng BITS para sa pag-exfilt ng datos.
- Mga kahina-hinalang manipulasyon gamit ang WMI.
- Mga kahina-hinalang utos sa script.
- Mga pagtatangkang i-dump ang mga ligtas na system file.
Ang pinagsamang tuntunin ay mahusay na gumagana para sa pagtukoy ng mga banta tulad ng RUYK, LockerGoga, at iba pang mga toolkit ng ransomware, malware, at cybercrime. Ang tuntunin ay sinubukan na ng vendor sa mga kapaligiran ng produksyon upang mabawasan ang mga maling positibo. At salamat sa proyektong SIGMA, karamihan sa mga tagapagpahiwatig na ito ay nakakalikha ng kaunting mga kaganapan sa ingay.
Dahil isa itong tuntunin sa pagsubaybay sa InTrust, maaari kang magpatakbo ng isang script ng tugon bilang tugon sa isang banta. Maaari mong gamitin ang isa sa mga built-in na script o gumawa ng sarili mo, at awtomatikong ipapamahagi ito ng InTrust.
Bukod pa rito, maaari mong siyasatin ang lahat ng telemetry na may kaugnayan sa kaganapan: mga script ng PowerShell, pagpapatupad ng proseso, naka-iskedyul na manipulasyon ng gawain, aktibidad na administratibo ng WMI, at gamitin ang mga ito para sa mga postmortem kung sakaling may mga insidente sa seguridad.
Ang InTrust ay may daan-daang iba pang mga patakaran, ang ilan sa mga ito ay:
- Ang pagtukoy ng PowerShell downgrade attack ay kapag sinasadyang gumamit ng mas lumang bersyon ng PowerShell ang isang tao dahil walang kakayahang i-audit ang mas lumang bersyon kung ano ang nangyayari.
- Pagtuklas ng mataas na pribilehiyo sa pag-logon - kapag ang mga account na miyembro ng isang partikular na grupong may pribilehiyo (tulad ng mga administrador ng domain) ay hindi sinasadya o dahil sa mga insidente sa seguridad ay interactive na nagla-log on sa mga workstation.
Pinapayagan ka ng InTrust na gamitin ang mga pinakamahusay na kasanayan sa seguridad sa anyo ng mga paunang natukoy na panuntunan sa pagtuklas at pagtugon. At kung sa tingin mo ay dapat gumana nang iba ang isang bagay, maaari kang gumawa ng sarili mong kopya ng panuntunan at i-configure ito kung kinakailangan. Maaari kang magsumite ng kahilingan para sa isang pilot o para sa pansamantalang pamamahagi ng lisensya sa pamamagitan ng sa aming website.
Mag-subscribe sa aming , naglalathala kami roon ng maiikling tala at mga kawili-wiling link.
Basahin ang aming iba pang mga artikulo sa seguridad ng impormasyon:
(tanyag na artikulo)
Pinagmulan: www.habr.com
