Osnove izogibanja EDR: Razumevanje zaznave

Kot preizkusevalec vdorov je eno najpogostejsih vprasanj, ki jih prejemam od organizacij, kako napadalcem uspeva zaobiti njihove resitve za zaznavanje in odzivanje na koncnih tockah. Odgovor je v razumevanju, kako produkti EDR dejansko delujejo. Ko branilci razumejo mehanizme zaznave, lahko predvidijo strategije izogibanja in zgradijo bolj odporne varnostne arhitekture. Ta objava se primarno navezuje na MITRE ATT&CK taktiko TA0005 (izogibanje obrambi) in pokriva temeljne koncepte, ki bi jih moral razumeti vsak clan modre ekipe.

Metode zaznave EDR

Sodobne resitve EDR se zanasajo na vec plasti zaznave, ki delujejo usklajeno. Nobena posamezna metoda ni zadostna sama po sebi, razumevanje vsake plasti pa branilcem pomaga prepoznati, kje v njihovi pokritosti morda obstajajo vrzeli.

• Zaznava na podlagi podpisov - Najstarejsa in najbolj neposredna metoda. Proizvajalci EDR vzdrzujejo podatkovne baze znanih zgoščenih vrednosti zlonamerne programske opreme, zaporedij bajtov in pravil YARA. Ceprav jo je z manjsimi spremembami enostavno zaobiti, podpisi ostajajo dragoceni za lovljenje genericne zlonamerne programske opreme. Branilci bi morali zagotoviti, da se baze podpisov pogosto posodabljajo, in jih dopolniti s pravili YARA po meri.
• Vedenjska analiza - Namesto da preucuje, kaj datoteka je, vedenjska zaznava preiskuje, kaj proces pocne. To vkljucuje spremljanje sumljivih vzorcev aktivnosti, kot je Wordov dokument, ki pozene PowerShell, ali proces, ki poskusa dostopati do pomnilnika LSASS. Vedenjska pravila je tezje zaobiti, ker morajo napadalci spremeniti svojo metodologijo, ne le orodja.
• Skeniranje pomnilnika - Produkti EDR periodicno skenirajo pomnilnik procesov za indikatorje vbrizgane kode, vzorce shellcode ali znane zlonamerne podpise, nalozene med izvajanjem. To ulovi groznje, ki obstajajo le v pomnilniku. Branilci bi morali preveriti, da njihov EDR izvaja redna skeniranja pomnilnika.
• Zakavelj API in telemetrija ETW - Mnoge resitve EDR zakaveljijo funkcije Windows API v uporabniskem nacinu z vbrizgavanjem DLL v vsak proces ali izkoriščajo sledenje dogodkov za Windows za spremljanje sistemskih klicev. To zagotavlja globok vpogled v vedenje procesov. Razumevanje, katere funkcije API so nadzorovane, branilcem pomaga prepoznati, kdaj je mogoce posegati v vire telemetrije.

Kaj sprozi zaznavo

Med preizkusi vdorov dokumentiram natancno, kaj sprozi opozorila, da organizacije razumejo svoje meje zaznave. Najpogostejsi sprozilci vkljucujejo naslednje indikatorje.

• Znani podpisi orodij - Orodja kot Mimikatz, Cobalt Strike in Metasploit imajo dobro znane podpise. Vsaka nespremenjena uporaba teh orodij bi morala biti takoj zaznana s strani kompetentnih resitev EDR.
• Sumljivi odnosi stars-otrok procesov - Varnostni produkti vzdrzujejo modele normalne rodoslovne linije procesov. Ko excel.exe pozene cmd.exe, ki nato zazene powershell.exe, je ta veriga zelo anomalna in bi morala sproziti opozorilo.
• Neobicajni vzorci klicev API - Zaporedja kot VirtualAllocEx, ki mu sledita WriteProcessMemory in CreateRemoteThread, kazejo na klasicno vbrizgavanje procesov (T1055). Produkti EDR te klicne verige specificno spremljajo.
• Anomalije pomnilnika - Izvrsljiva koda, ki tece iz pomnilniskih regij brez podporne datoteke na disku, ali regij z dovoljenji RWX, so mocni indikatorji zlonamerne aktivnosti.
• Omrezni indikatorji - Vzorci svetilnikov, povezave do znane zlonamerne infrastrukture in neobicajni obsegi prenosa podatkov lahko sprozijo omrezno zavedne zaznave EDR.

Nacela izogibanja, ki jih uporabljajo napadalci

Razumevanje nacel izogibanja iz perspektive napadalca branilcem omogoca, da predvidijo in se pripravijo na sofisticirane groznje. To so temeljne strategije, ki jih uporabljajo rdece ekipe in dejanski nasprotniki.

• Izogibanje znanim slabim podpisom - Napadalci spreminjajo orodja, da spremenijo njihove zgoscene vrednosti in vzorce bajtov. Branilci bi se morali odzvati z osredotocanjem na vedenjske zaznave, namesto da se zanasajo izkljucno na podpise.
• Zlivanje z normalnim vedenjem - Sofisticirani napadalci posnemajo legitimne aktivnosti sistemske administracije. Branilci potrebujejo mocne izhodiscne linije normalnega vedenja za zaznavanje subtilnih odstopanj.
• Razumevanje pravil zaznave - Napadalci preucujejo produkte EDR, da izvejo natancno, kaj je nadzorovano. Branilci bi morali predpostaviti, da je njihova logika zaznave znana, in ustrezno graditi obrambo v globino.
• Uporaba legitimnih orodij (LOLBins) - Living Off the Land Binaries so podpisane Microsoftove datoteke, zlorabljene za zlonamerne namene (T1218). Ker so te datoteke privzeto zaupanja vredne, se mora zaznava osredotociti na anomalne vzorce uporabe.

Strategije zaznave in obrambe

Za izgradnjo robustne zaznave proti tehnikam izogibanja priporocam naslednji pristop, ki temelji na mojih izkusnjah s testiranjem na stotine okolij.

• Plastite svoje vire telemetrije - Ne zanasajte se izkljucno na agenta EDR. Zdruzite telemetrijo koncnih tock z dnevniki Sysmon, dnevniki dogodkov Windows, omrezno zaznavo in analitiko v oblaku. Ce je en vir zaslepljen, drugi zagotavljajo pokritost.
• Spremljajte posege v zaznavo - Opozorite na poskuse zaustavitve ali odstranitve storitev EDR, odstranitve gonilnikov jedra EDR ali spreminjanja registrskih kljucev, povezanih z EDR. Ta dejanja so sama po sebi mocni indikatorji kompromitacije.
• Implementirajte zaznave tipa vaba - Razmestite datoteke vabe, lazna poverilnica in kanarcke po celotnem okolju. Te pasti se ne zanasajo na vedenjsko analizo in ujamejo napadalce, ki so zaobsli druge kontrole.
• Izvajajte redne vaje vijolicne ekipe - Sodelujte s svojo rdeco ekipo ali preizkusevalci vdorov za potrjevanje, da vas EDR zaznava specificne tehnike ATT&CK. Dokumentirajte vrzeli in sodelujte s proizvajalcem za izboljsanje pokritosti.
• Prilagodite konfiguracijo EDR - Mnoge organizacije poganjajo EDR v privzetih konfiguracijah. Sodelujte s proizvajalcem za omogocanje naprednih funkcij, kot so frekvenca skeniranja pomnilnika, integracija belezenja skriptnih blokov in spremljanje dostopa do poverilnic.

Obrambna vrednost znanja o izogibanju

Razumevanje izogibanja ne pomeni pomoci napadalcem. Gre bistveno za izboljsanje obrambe. Ko modre ekipe razumejo, kako je mogoce zaobiti njihova orodja, lahko proaktivno odpravijo slabosti, preden jih dejanski nasprotniki izkoristijo. Vsak preizkus vdorov, ki ga izvedem, vkljucuje podrobna priporocila za izboljsanje pokritosti zaznave, ta priporocila pa so mogoča le, ker razumem obe strani enacbe. Organizacije, ki vlozijo v razumevanje tehnik izogibanja, dosledno gradijo mocnejse in bolj odporne varnostne programe. Kljucni zakljucek je, da nobena posamezna metoda zaznave ni brezhibna, plastna obrambna strategija, ki zdruzuje vec virov telemetrije, pa zagotavlja najrobustnejso zascito pred sofisticiranimi nasprotniki.