Zrozumienie sposobu działania atakujących ma kluczowe znaczenie dla wzmocnienia obrony cyberbezpieczeństwa organizacji. Najnowszy raport Q3 2024 ANY.RUN - Interactive Malware Analysis Service na temat trendów w złośliwym oprogramowaniu ujawnia najczęściej stosowane taktyki, techniki i procedury.
Techniki atakujących i taktyki obrony:
Atak: Wyłączenie rejestrowania zdarzeń systemu Windows
Atakujący manipulują lub wyłączają rejestrowanie zdarzeń systemu Windows, aby zatrzeć ślady. Bez dzienników zdarzeń analitycy napotykają martwe punkty w wykrywaniu złośliwych zachowań.
Obrona:
- Korzystanie z narzędzi do monitorowania dzienników w czasie rzeczywistym i scentralizowanych rozwiązań do rejestrowania.
Wdrożenie systemu rejestrowania odpornego na manipulacje
Atak: Eksploit PowerShell
PowerShell, potężne narzędzie wiersza poleceń w systemie Windows, jest wykorzystywane przez atakujących do manipulowania ustawieniami systemu, eksfiltracji danych lub utrzymywania trwałości. Ukryte skrypty utrudniają narzędziom wykrywającym identyfikację złośliwych działań.
Obrona:
- Ogranicz użycie PowerShell za pomocą Just Enough Administration.
- Monitoruj i blokuj podejrzane skrypty PowerShell za pomocą narzędzi bezpieczeństwa.
Atak: Nadużywanie powłoki poleceń systemu Windows
Atakujący wykorzystują powłokę poleceń systemu Windows (cmd.exe) do wykonywania ładunków, pobierania złośliwego oprogramowania lub eskalacji uprawnień. Jego powszechne legalne użycie czyni go atrakcyjnym narzędziem do ukrywania złośliwych działań.
Obrona:
- Egzekwowanie białej listy aplikacji w celu ograniczenia użycia cmd.exe.
- Monitorowanie nietypowych wzorców lub zachowań w procesach wiersza poleceń.
Atak: Modyfikacja kluczy uruchamiania rejestru
Aby zapewnić trwałość, atakujący modyfikują klucze uruchamiania rejestru systemu Windows, umożliwiając złośliwemu oprogramowaniu automatyczne uruchamianie się przy starcie systemu.
Obrona:
- Regularny audyt i monitorowanie zmian w rejestrze.
- Używanie rozwiązań EDR do oznaczania nieautoryzowanych modyfikacji.
Atak: Time-Based Evasion
Atakujący opóźniają wykonanie złośliwego kodu, aby uniknąć wykrycia i analizy w piaskownicy. Złośliwe oprogramowanie wydaje się łagodne podczas wstępnego skanowania, unikając oflagowania przez rozwiązania bezpieczeństwa.
Obrona:
- Korzystanie z zaawansowanych rozwiązań sandbox z wydłużonymi okresami obserwacji.
- Wdrożenie analizy behawioralnej w czasie rzeczywistym w celu dynamicznego wykrywania zagrożeń.
Key Tactics, Techniques, and Procedures Used by Attackers and How to Defend Against Them
Understanding how attackers operate is critical for strengthening your organization's cybersecurity defenses. The latest Q3 2024 ANY.RUN - Interactive Malware Analysis Service report on malware trends reveals the most commonly used Tactics, Techniques, and Procedures.
Attackers techniques and defense tactics:
Attack: Disabling Windows Event Logging
Attackers manipulate or disable Windows Event Logging to cover their tracks. Without event logs, analysts face blind spots in detecting malicious behavior.
Defense:
- Use real-time log monitoring tools and centralized logging solutions.
Implement tamper-proof logging systems.
Attack: PowerShell Exploitation
PowerShell, a powerful command-line tool in Windows, is exploited by attackers to manipulate system settings, exfiltrate data, or maintain persistence. Obfuscated scripts make it difficult for detection tools to identify malicious activities.
Defense:
- Restrict PowerShell usage with Just Enough Administration.
- Monitor and block suspicious PowerShell scripts using security tools.
Attack: Abuse of Windows Command Shell
Attackers leverage the Windows Command Shell (cmd.exe) for executing payloads, downloading malware, or escalating privileges. Its widespread legitimate use makes it an attractive tool for hiding malicious actions.
Defense:
- Enforce application whitelisting to limit cmd.exe usage.
- Monitor unusual patterns or behaviors in command-line processes.
Attack: Modification of Registry Run Keys
To ensure persistence, attackers modify Windows Registry Run Keys, allowing malware to execute automatically at system startup.
Defense:
- Regularly audit and monitor registry changes.
- Use EDR solutions to flag unauthorized modifications.
Attack: Time-Based Evasion
Attackers delay malicious code execution to evade sandbox detection and analysis. Malware appears benign during initial scans, avoiding flagging by security solutions.
Defense:
- Use advanced sandbox solutions with extended observation periods.
- Implement real-time behavioral analysis for dynamic threat detection.
Autor: Sebastian Burgemejster
Comments