En yaygın saldırı türlerinden biri, bir ağaçta tamamen saygın süreçler altında kötü niyetli bir sürecin ortaya çıkmasıdır. Yürütülebilir dosyanın yolu şüpheli olabilir: Kötü amaçlı yazılım genellikle AppData veya Temp klasörlerini kullanır ve bu, yasal programlar için tipik değildir. Adil olmak gerekirse, bazı otomatik güncelleme yardımcı programlarının AppData'da yürütüldüğünü söylemekte fayda var; dolayısıyla yalnızca başlatma konumunu kontrol etmek, programın kötü amaçlı olduğunu doğrulamak için yeterli değildir.
Ek bir meşruiyet faktörü de kriptografik imzadır: birçok orijinal program satıcı tarafından imzalanır. Şüpheli başlangıç öğelerini tanımlama yöntemi olarak imzanın bulunmaması gerçeğini kullanabilirsiniz. Ama yine de, kendisini imzalamak için çalıntı bir sertifikayı kullanan kötü amaçlı yazılımlar var.
Ayrıca önceden tespit edilen bazı kötü amaçlı yazılımlara karşılık gelebilecek MD5 veya SHA256 şifreleme karmalarının değerini de kontrol edebilirsiniz. Programdaki imzalara bakarak (Yara kurallarını veya antivirüs ürünlerini kullanarak) statik analiz yapabilirsiniz. Ayrıca dinamik analiz (bir programı güvenli bir ortamda çalıştırmak ve eylemlerini izlemek) ve tersine mühendislik de vardır.
Kötü niyetli bir sürecin birçok işareti olabilir. Bu yazıda size Windows'ta ilgili olayların denetiminin nasıl etkinleştirileceğini anlatacağız, yerleşik kuralın dayandığı işaretleri analiz edeceğiz Şüpheli bir süreci tanımlamak için. InTrust: Çeşitli saldırı türlerine karşı halihazırda yüzlerce önceden tanımlanmış tepkiye sahip olan yapılandırılmamış verileri toplamak, analiz etmek ve depolamak için.
Program başlatıldığında bilgisayarın belleğine yüklenir. Yürütülebilir dosya, bilgisayar talimatlarını ve destekleyici kitaplıkları (örneğin, *.dll) içerir. Bir işlem zaten çalışıyorsa ek iş parçacıkları oluşturabilir. İş parçacığı, bir işlemin aynı anda farklı talimat kümelerini yürütmesine olanak tanır. Kötü amaçlı kodların belleğe girip çalışmasının birçok yolu vardır, bunlardan bazılarına bakalım.
Kötü amaçlı bir işlemi başlatmanın en kolay yolu, kullanıcıyı doğrudan (örneğin bir e-posta ekinden) başlatmaya zorlamak ve ardından bilgisayar her açıldığında bunu başlatmak için RunOnce tuşunu kullanmaktır. Bu aynı zamanda PowerShell komut dosyalarını bir tetikleyiciye dayalı olarak yürütülen kayıt defteri anahtarlarında saklayan "dosyasız" kötü amaçlı yazılımları da içerir. Bu durumda PowerShell betiği kötü amaçlı koddur.
Açıkça kötü amaçlı yazılım çalıştırmanın sorunu, bunun kolayca tespit edilebilen bilinen bir yaklaşım olmasıdır. Bazı kötü amaçlı yazılımlar, bellekte yürütülmeye başlamak için başka bir işlemi kullanmak gibi daha akıllıca şeyler yapar. Bu nedenle, bir işlem belirli bir bilgisayar talimatını çalıştırarak ve çalıştırılacak yürütülebilir dosyayı (.exe) belirterek başka bir işlem oluşturabilir.
Dosya, tam yol (örneğin, C:Windowssystem32cmd.exe) veya kısmi yol (örneğin, cmd.exe) kullanılarak belirtilebilir. Orijinal süreç güvenli değilse, meşru olmayan programların çalışmasına izin verecektir. Bir saldırı şu şekilde görünebilir: Bir süreç tam yolu belirtmeden cmd.exe'yi başlatır, saldırgan cmd.exe dosyasını, sürecin onu meşru olandan önce başlatacağı bir yere yerleştirir. Kötü amaçlı yazılım çalıştığında, orijinal programın düzgün çalışmaya devam etmesi için meşru bir programı (C:Windowssystem32cmd.exe gibi) başlatabilir.
Önceki saldırının bir varyasyonu, meşru bir sürece DLL enjeksiyonudur. Bir süreç başladığında, işlevselliğini genişleten kütüphaneleri bulur ve yükler. Saldırgan, DLL enjeksiyonunu kullanarak meşru bir kitaplıkla aynı ada ve API'ye sahip kötü amaçlı bir kitaplık oluşturur. Program kötü amaçlı bir kitaplık yükler ve buna karşılık meşru bir kitaplık yükler ve gerektiğinde onu işlemleri gerçekleştirmek için çağırır. Kötü amaçlı kitaplık, iyi kitaplığın vekili gibi davranmaya başlar.
Kötü amaçlı kodu belleğe yerleştirmenin başka bir yolu da, onu zaten çalışmakta olan güvenli olmayan bir işleme eklemektir. İşlemler, ağdan veya dosyalardan okuyarak çeşitli kaynaklardan girdi alır. Genellikle girdinin meşru olduğundan emin olmak için bir kontrol gerçekleştirirler. Ancak bazı işlemler talimatları yürütürken uygun korumaya sahip değildir. Bu tür bir saldırıda diskte herhangi bir kütüphane veya kötü amaçlı kod içeren yürütülebilir bir dosya bulunmaz. Her şey, yararlanılan süreçle birlikte bellekte saklanır.
Şimdi Windows'ta bu tür olayların toplanmasını etkinleştirme yöntemine ve InTrust'ta bu tür tehditlere karşı koruma uygulayan kurala bakalım. Öncelikle InTrust yönetim konsolu aracılığıyla etkinleştirelim.
Kural, Windows işletim sisteminin süreç izleme yeteneklerini kullanır. Ne yazık ki, bu tür olayların toplanmasının mümkün kılınması açık olmaktan çok uzaktır. Değiştirmeniz gereken 3 farklı Grup İlkesi ayarı vardır:
Bilgisayar Yapılandırması > İlkeler > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Denetim İlkesi > Denetim süreci takibi
Bilgisayar Yapılandırması > İlkeler > Windows Ayarları > Güvenlik Ayarları > Gelişmiş Denetim İlkesi Yapılandırması > Denetim İlkeleri > Ayrıntılı İzleme > Denetim süreci oluşturma
Bilgisayar Yapılandırması > İlkeler > Yönetim Şablonları > Sistem > Denetim Süreci Oluşturma > Süreç oluşturma etkinliklerine komut satırını dahil et
InTrust kuralları etkinleştirildiğinde, şüpheli davranışlar sergileyen, önceden bilinmeyen tehditleri tespit etmenize olanak tanır. Örneğin, tanımlayabilirsiniz Dridex kötü amaçlı yazılımı. HP Bromium projesi sayesinde bu tehdidin nasıl çalıştığını biliyoruz.
Dridex, eylem zincirinde zamanlanmış bir görev oluşturmak için schtasks.exe'yi kullanır. Bu özel yardımcı programın komut satırından kullanılması çok şüpheli bir davranış olarak kabul edilir; svchost.exe'nin kullanıcı klasörlerine işaret eden parametrelerle veya "net view" veya "whoami" komutlarına benzer parametrelerle başlatılması benzer görünür. İşte karşılık gelen bir parça :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of themInTrust'ta tüm şüpheli davranışlar tek bir kurala dahil edilir, çünkü bu eylemlerin çoğu belirli bir tehdide özel değildir, daha ziyade bir kompleks içerisinde şüphelidir ve vakaların %99'u tamamen asil olmayan amaçlar için kullanılır. Bu eylem listesi aşağıdakileri içerir, ancak bunlarla sınırlı değildir:
- Kullanıcının geçici klasörleri gibi alışılmadık konumlardan çalışan işlemler.
- Şüpheli mirasa sahip, iyi bilinen sistem işlemi - bazı tehditler, tespit edilmemek için sistem işlemlerinin adını kullanmaya çalışabilir.
- Yerel sistem kimlik bilgilerini veya şüpheli devralmayı kullandıklarında cmd veya PsExec gibi yönetim araçlarının şüpheli yürütülmesi.
- Şüpheli gölge kopya işlemleri, sistemi şifrelemeden önce fidye yazılımı virüslerinin yaygın bir davranışıdır; yedeklemeleri öldürürler:
— vssadmin.exe aracılığıyla;
- WMI aracılığıyla. - Tüm kayıt defteri kovanlarının dökümlerini kaydedin.
- At.exe gibi komutlar kullanılarak bir işlem uzaktan başlatıldığında kötü amaçlı kodun yatay hareketi.
- Net.exe kullanılarak şüpheli yerel grup işlemleri ve etki alanı işlemleri.
- Netsh.exe kullanılarak şüpheli güvenlik duvarı etkinliği.
- ACL'nin şüpheli manipülasyonu.
- Veri sızması için BITS kullanma.
- WMI ile şüpheli manipülasyonlar.
- Şüpheli komut dosyası komutları.
- Güvenli sistem dosyalarının dökümünü almaya çalışır.
Birleşik kural, RUYK, LockerGoga ve diğer fidye yazılımları, kötü amaçlı yazılımlar ve siber suç araç setleri gibi tehditleri tespit etmede çok iyi çalışır. Kural, yanlış pozitifleri en aza indirmek için satıcı tarafından üretim ortamlarında test edilmiştir. SIGMA projesi sayesinde bu göstergelerin çoğu minimum sayıda gürültü olayı üretiyor.
Çünkü InTrust'ta bu bir izleme kuralıdır; bir tehdide tepki olarak bir yanıt komut dosyası çalıştırabilirsiniz. Yerleşik komut dosyalarından birini kullanabilir veya kendinizinkini oluşturabilirsiniz; InTrust bunu otomatik olarak dağıtacaktır.
Ek olarak, olayla ilgili tüm telemetriyi inceleyebilirsiniz: PowerShell komut dosyaları, süreç yürütme, zamanlanmış görev düzenlemeleri, WMI yönetim etkinliği ve bunları güvenlik olayları sırasında ölüm sonrası işlemler için kullanabilirsiniz.
InTrust'un yüzlerce başka kuralı vardır; bunlardan bazıları:
- PowerShell sürüm düşürme saldırısının algılanması, birisinin kasıtlı olarak PowerShell'in eski bir sürümünü kullanmasıdır çünkü... eski versiyonda olup biteni denetlemenin bir yolu yoktu.
- Yüksek ayrıcalıklı oturum açma tespiti, belirli bir ayrıcalıklı grubun (etki alanı yöneticileri gibi) üyesi olan hesapların kazara veya güvenlik olayları nedeniyle iş istasyonlarında oturum açmasıdır.
InTrust, önceden tanımlanmış tespit ve tepki kuralları biçiminde en iyi güvenlik uygulamalarını kullanmanıza olanak tanır. Bir şeyin farklı şekilde çalışması gerektiğini düşünüyorsanız, kuralın kendi kopyasını oluşturabilir ve onu gerektiği gibi yapılandırabilirsiniz. Pilot uygulama yapmak veya geçici lisanslarla dağıtım kitleri almak için başvuruda bulunabilirsiniz. Web sitemizde.
abone ol , orada kısa notlar ve ilginç bağlantılar yayınlıyoruz.
Bilgi güvenliği ile ilgili diğer makalelerimizi okuyun:
(popüler makale)
Kaynak: habr.com