В отчетах о кибербезопасности всё чаще рассматриваются новые методы анализа вредоносных программ. Одним из таких подходов, предложенным Джаредом Аткинсоном, является концепция методов выполнения, фокусирующаяся на том, как именно осуществляются вредоносные действия. Это изменение в угле зрения может значительно улучшить возможности обнаружения угроз.
Методы выполнения и их значение
Методы выполнения вредоносных программ могут различаться в зависимости от средств, которые используются злоумышленниками. Например:
- Создание службы Windows через системные утилиты, такие как sc.exe.
- Использование сценариев PowerShell.
- Применение шелл-кода для управления конфигурацией службы непосредственно в реестре Windows.
Эта вариативность методов выполнения предоставляет специалистам по кибербезопасности лучшее понимание возможностей обнаружения угроз.
Проблемы с охватом обнаружения
В некоторых средах, таких как PowerShell, были зафиксированы случаи злоупотреблений, что привело к расширению возможностей ведения журналов. Однако важно отметить, что охват обнаружения в конкретном инструменте не следует приравнивать к охвату в более широком контексте. Например, фреймворки обнаружения, такие как MITRE ATT&CK, имеют свои ограничения:
- Полный охват технологий, ограниченный PowerShell, не адекватно отражает возможности обнаружения в реальном мире.
- Пирамидальный подход MITRE присваивает более низкие показатели надежности обнаружениям на основе сценариев PowerShell.
Роль анализа стеков вызовов
Одним из ключевых аспектов, на который следует обратить внимание, является анализ стеков вызовов. Этот метод позволяет:
- Выявлять ошибки на основе использования вызовов API двойного назначения.
- Отличать доброкачественные действия от вредоносных.
Способность компании Elastic отличать вызовы API, исходящие из сценариев PowerShell, от вызовов, исходящих из среды выполнения PowerShell или .NET, повышает эффективность обнаружения.
Преимущества модульного подхода
Модульный подход компании Elastic успешно выявляет распространенные тактики обхода защиты, используемые PowerShell, без полагания исключительно на традиционные, хрупкие средства обнаружения, такие как ведение журнала AMSI в PowerShell.
Согласно методологии аналитической оценки Summiting the Pyramid, традиционные средства обнаружения PowerShell часто получают низкие оценки надежности, обычно 2А. В то время как недавно разработанные правила обнаружения неправомерных действий в PowerShell от Elastic могут достигать максимально возможного балла (5K) при наличии соответствующей телеметрии ядра.
Заключение
Эффективное управление способами выполнения вредоносного кода может привести к увеличению операционных затрат злоумышленников. Исторически злоумышленники выбирали определенные методы, такие как C# или PowerShell, из-за их доступности и легкости использования. Однако, учитывая новые методы анализа и подходы к обнаружению угроз, можно нацелиться на снижение рисков и повышение уровня безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новые горизонты кибербезопасности: методы анализа вредоносных программ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.