最常見的攻擊類型之一是在完全受人尊敬的進程下的樹中產生惡意進程。 可執行檔案的路徑可能很可疑:惡意軟體通常使用 AppData 或 Temp 資料夾,這對於合法程式來說並不常見。 公平地說,值得一提的是,一些自動更新實用程式是在AppData中執行的,因此僅檢查啟動位置不足以確認該程式是惡意的。
合法性的另一個因素是加密簽章:許多原始程式都由供應商簽署。 您可以利用沒有簽名的事實作為識別可疑啟動項目的方法。 但話又說回來,有惡意軟體使用被盜的憑證來對自己進行簽署。
您也可以檢查 MD5 或 SHA256 加密雜湊值,這可能對應於一些先前偵測到的惡意軟體。 您可以透過查看程式中的簽名來執行靜態分析(使用 Yara 規則或防毒產品)。 還有動態分析(在某些安全環境中運行程式並監視其行為)和逆向工程。
惡意進程的跡象可能有很多。 在這篇文章中我們將告訴您如何在Windows中啟用相關事件的審核,我們將分析內建規則所依賴的標誌 識別可疑進程。 信託是 用於收集、分析和儲存非結構化數據,該數據已經有數百種針對各種類型攻擊的預定義反應。
當程式啟動時,它被載入到電腦的記憶體中。 可執行檔包含電腦指令和支援庫(例如*.dll)。 當進程已經運行時,它可以創建額外的執行緒。 執行緒允許進程同時執行不同的指令集。 惡意程式碼滲透記憶體並運行的方式有很多種,讓我們來看看其中的一些。
啟動惡意進程的最簡單方法是強制使用者直接啟動它(例如,從電子郵件附件),然後在每次開啟電腦時使用 RunOnce 鍵啟動它。 這也包括「無檔案」惡意軟體,它將 PowerShell 腳本儲存在基於觸發器執行的登錄項目中。 在這種情況下,PowerShell腳本是惡意程式碼。
明確運行惡意軟體的問題在於它是一種易於檢測的已知方法。 有些惡意軟體會做更聰明的事情,例如使用另一個進程開始在記憶體中執行。 因此,一個進程可以透過執行特定的電腦指令並指定要執行的可執行檔(.exe)來建立另一個進程。
可以使用完整路徑(例如,C:Windowssystem32cmd.exe)或部分路徑(例如,cmd.exe)指定該檔案。 如果原始進程不安全,就會允許非法程式運作。 攻擊可能如下所示:進程在未指定完整路徑的情況下啟動 cmd.exe,攻擊者將其 cmd.exe 放置在某個位置,以便該進程在合法進程之前啟動它。 一旦惡意軟體運行,它可以反過來啟動合法程式(例如C:Windowssystem32cmd.exe),從而使原始程式繼續正常運行。
先前攻擊的變體是將 DLL 注入到合法進程中。 當進程啟動時,它會尋找並載入擴展其功能的庫。 使用 DLL 注入,攻擊者可以建立一個與合法程式庫具有相同名稱和 API 的惡意程式庫。 該程式載入一個惡意庫,然後載入一個合法庫,並根據需要呼叫它來執行操作。 惡意函式庫開始充當好函式庫的代理。
將惡意程式碼放入記憶體的另一種方法是將其插入到已經運行的不安全進程中。 進程從各種來源接收輸入 - 從網路或檔案讀取。 他們通常會執行檢查以確保輸入合法。 但有些程序在執行指令時沒有適當的保護。 在此攻擊中,磁碟上不存在包含惡意程式碼的程式庫或可執行檔。 一切都與被利用的進程一起儲存在記憶體中。
現在讓我們看看在 Windows 中啟用此類事件收集的方法以及 InTrust 中實作針對此類威脅的保護的規則。 首先,我們透過 InTrust 管理控制台啟動它。
此規則使用 Windows 作業系統的進程追蹤功能。 不幸的是,實現此類事件的收集還遠非顯而易見。 您需要變更 3 種不同的群組原則設定:
電腦設定 > 策略 > Windows 設定 > 安全性設定 > 本機策略 > 審核策略 > 審核進程追蹤
電腦設定 > 策略 > Windows 設定 > 安全性設定 > 進階審核策略設定 > 審核策略 > 詳細追蹤 > 審核程序創建
電腦設定 > 策略 > 管理範本 > 系統 > 審核程序建立 > 在行程建立事件中包含命令列
啟用後,InTrust 規則可讓您偵測表現出可疑行為的先前未知的威脅。 例如,您可以識別 Dridex 惡意軟體。 感謝 HP Bromium 項目,我們知道這種威脅是如何運作的。
在其操作鏈中,Dridex 使用 schtasks.exe 建立排程任務。 從命令列使用此特定實用程式被認為是非常可疑的行為;使用指向使用者資料夾的參數或使用類似於“net view”或“whoami”命令的參數啟動 svchost.exe 看起來很相似。 這是對應的片段 :
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them在 InTrust 中,所有可疑行為都包含在一條規則中,因為大多數這些行為並非特定於特定威脅,而是複雜的可疑行為,並且 99% 的情況都用於不完全崇高的目的。 該行動清單包括但不限於:
- 從不尋常的位置運行的進程,例如用戶臨時資料夾。
- 具有可疑繼承的眾所周知的系統進程 - 某些威脅可能會嘗試使用系統進程的名稱來保持不被發現。
- 當管理工具(例如 cmd 或 PsExec)使用本機系統憑證或可疑繼承時,會出現可疑的執行。
- 可疑的捲影複製操作是勒索軟體病毒在加密系統之前的常見行為;它們會殺死備份:
— 透過 vssadmin.exe;
- 透過 WMI。 - 整個註冊表配置單元的註冊轉儲。
- 使用 at.exe 等指令遠端啟動進程時惡意程式碼的水平移動。
- 使用 net.exe 的可疑本機群組操作和網域操作。
- 使用 netsh.exe 的可疑防火牆活動。
- 可疑的 ACL 操縱。
- 使用 BITS 進行資料外洩。
- WMI 的可疑操作。
- 可疑的腳本命令。
- 嘗試轉儲安全系統檔案。
組合規則非常適合偵測 RUYK、LockerGoga 和其他勒索軟體、惡意軟體和網路犯罪工具包等威脅。 該規則已由供應商在生產環境中進行測試,以最大限度地減少誤報。 由於 SIGMA 項目,這些指標中的大多數都會產生最少數量的噪音事件。
因為在 InTrust 中,這是一個監控規則,您可以執行回應腳本作為對威脅的反應。 您可以使用內建腳本之一或建立自己的腳本,InTrust 將自動分發它。
此外,您還可以檢查所有與事件相關的遙測:PowerShell 腳本、流程執行、排程任務操作、WMI 管理活動,並在安全事件期間使用它們進行事後分析。
InTrust 還有數百條其他規則,其中一些:
- 偵測 PowerShell 降級攻擊是指有人故意使用舊版的 PowerShell,因為… 在舊版本中,無法審核正在發生的事情。
- 高權限登入偵測是指屬於某個特權群組(例如網域管理員)成員的帳戶意外或因安全性事件而登入工作站。
InTrust 可讓您以預先定義的偵測和反應規則的形式使用最佳安全實務。 如果您認為某些內容應該以不同的方式運作,您可以製作自己的規則副本並根據需要進行配置。 您可以透過以下方式提交進行試點或取得具有臨時許可證的分發包的申請: 在我們的網站上。
訂閱我們的 ,我們在那裡發布簡短的註釋和有趣的連結。
閱讀我們有關資訊安全的其他文章:
(熱門文章)
來源: www.habr.com