Nepoznati maliciozni softver predstavlja značajnu pretnju kibernetičkoj bezbjednosti i može uzrokovati ozbiljnu štetu organizacijama i pojedincima. Kada se ne otkrije, maliciozni kod može dobiti pristup povjerljivim informacijama, oštetiti podatke i omogućiti napadačima da steknu kontrolu nad sistemima. Saznajte kako izbjeći ove okolnosti i efikasno otkriti nepoznato maliciozno ponašanje.
Izazovi otkrivanja novih pretnji
Dok su poznate familije malicioznih softvera predvidljivije i mogu se lakše otkriti, nepoznate pretnje mogu poprimiti različite oblike, uzrokujući gomilu izazova za njihovo otkrivanje:
- Programeri malicioznog softvera koriste polimorfizam, koji im omogućava da modifikuju maliciozni kod kako bi generisali jedinstvene varijante istog malicioznog softvera.
- Postoji maliciozni softver koji još uvijek nije identifikovan i koji nema skup pravila za otkrivanje.
- Neke pretnje mogu biti potpuno neotkrivene (FUD) neko vrijeme i izazivaju sigurnost perimetra.
- Kod je često šifrovan, što ga čini teškim za otkrivanje sigurnosnim rešenjima zasnovanim na potpisima.
- Autori malicioznog softvera mogu koristiti „niski i spori“ pristup, koji uključuje slanje male količine malicioznog koda preko mreže tokom dužeg vremena, što ga čini težim za otkrivanje i blokiranje. Ovo može biti posebno štetno u korporativnim mrežama, gdje nedostatak vidljivosti u okruženju može dovesti do neotkrivene maliciozne aktivnosti.
Otkrivanje novih pretnji
Kada analiziraju poznate porodice malicioznog softvera, istraživači mogu iskoristiti postojeće informacije o malicioznom softveru, kao što su njegovo ponašanje, nosivost i poznate ranjivosti, kako bi ga otkrili i odgovorili na njega.
No, baveći se novim pretnjama, istraživači moraju početi od nule, koristeći sljedeći vodič:
Korak 1. Koristite obrnuti inženjering da analizirate kod malicioznog softvera kako biste identifikovali njegovu svrhu i malicioznu prirodu.
Korak 2 . Koristite statičku analizu da biste ispitali kod malicioznog softvera kako biste identifikovali njegovo ponašanje, nosivost i ranjivosti.
Korak 3. Koristite dinamičku analizu da biste promatrali ponašanje malicioznog softvera tokom izvršavanja.
Korak 4. Koristite sandboxing za pokretanje malicioznog softvera u izolovanom okruženju kako biste promatrali njegovo ponašanje bez oštećenja sistema.
Korak 5. Koristite heuristiku za identifikaciju potencijalno malicioznog koda na osnovu vidljivih obrazaca i ponašanja.
Korak 6. Analizirajte rezultate obrnutog inženjeringa, statičke analize, dinamičke analize, sandboxinga i heuristike kako biste utvrdili da li je kod maliciozan.
Postoji mnogo alata od Process Monitor-a i Wireshark-a do ANY.RUN-a koji će Vam pomoći da prođete kroz prvih 5 koraka. Ali kako izvući precizan zaključak, na šta treba obratiti pažnju dok imate sve ove podatke?
Odgovor je jednostavan, fokusirajte se na pokazatelje malicioznog ponašanja.
Pratite sumnjive aktivnosti radi efikasnog otkrivanja
Za otkrivanje pretnji koriste se različiti potpisi. U terminologiji računarske bezbjednosti, potpis je tipičan otisak ili obrazac povezan sa malicioznim napadom na računarsku mrežu ili sistem.
Dio ovih potpisa su ponašanja. Nemoguće je učiniti nešto u OS-u i ne ostaviti nikakav trag iza sebe. Preko njihovih sumnjivih aktivnosti možemo identifikovati koji je to softver ili skripta.
Možete pokrenuti sumnjivi program u sandbox-u kako biste promatrali ponašanje malicioznog softvera i identifikovali maliciozno ponašanje, kao što je:
- abnormalna aktivnost sistema datoteka
- stvaranje i završetak sumnjivog procesa
- abnormalna mrežna aktivnost
- čitanje ili modifikovanje sistemskih datoteka
- pristup sistemskim resursima
- kreiranje novih korisnika
- povezivanje na udaljene servere
- izvršiti druge maliciozne komande
- iskoristiti poznate ranjivosti u sistemu
Microsoft Office pokreće PowerShell, izgleda sumnjivo, zar ne? Aplikacija se sama dodaje planiranim zadacima, svakako obratite pažnju na to. Proces svchost pokreće se iz privremenog registra, nešto definitivno nije u redu.
Uvijek možete otkriti bilo koju prijetnju po njenom ponašanju, čak i bez potpisa. Dokažimo to.
Slučaj #1
Evo primjera kradljivca. Šta on to radi? Krade korisničke podatke, kolačiće, novčanike itd. Kako to možemo otkriti? Na primjer, otkriva se kada aplikacija otvori datoteku podataka za prijavu u Chrome pretraživaču.
Aktivnost u mrežnom prometu takođe najavljuje maliciozne namjere i pretnju. Legitimna aplikacija nikada ne bi poslala kredencijale, karakteristike OS-a i druge osjetljive podatke prikupljene lokalno.
U slučaju prometa, maliciozni softver se može otkriti pomoću dobro poznatih funkcija. Agent Tesla u nekim slučajevima ne šifruje podatke poslane sa zaraženog sistema kao u ovom uzorku.
Slučaj #2
Ne postoji mnogo legitimnih programa koji treba da zaustave Windows Defender ili druge aplikacije da bi zaštitili operativni sistem ili da bi se isključili. Svaki put kada naiđete na ovakvo ponašanje, to je znak sumnjive aktivnosti.
Da li aplikacija briše shadow kopije? Izgleda kao ransomware. Da li uklanja sjene kopije i kreira TXT/HTML datoteku s tekstom readme u svakom direktoriju? To je još jedan dokaz za to.
Ako su korisnički podaci šifrovani u procesu, možemo biti sigurni da je riječ o ransomware-u. Kao što se dogodilo u ovom malicioznom primjeru. Čak i ako ne poznajemo porodicu, možemo identifikovati kakvu bezbjednosnu pretnju predstavlja ovaj softver, a zatim postupiti u skladu sa tim i preduzeti mjere za zaštitu radnih stanica i mreže organizacije.
Možemo izvući zaključke o gotovo svim vrstama malicioznog softvera na osnovu ponašanja uočenog u sandboxu. Isprobajte ANY.RUN interaktivnu uslugu na mreži da ga nadgledate, možete odmah dobiti prve rezultate i vidjeti sve akcije malicioznog softvera u realnom vremenu. Upravo ono što nam treba da uhvatimo bilo kakve sumnjive aktivnosti.
Zaključak
Kibernetički kriminalci mogu koristiti nepoznate pretnje da iznude kompanije za novac i pokrenu velike kibernetičke napade. Čak i ako porodica malicioznog softvera nije otkrivena, uvijek možemo zaključiti funkcionalnost pretnje razmatrajući njeno ponašanje. Koristeći ove podatke, možete izgraditi sigurnost informacija kako biste spriječili sve nove pretnje. Analiza ponašanja poboljšava Vašu sposobnost da odgovorite na nove i nepoznate pretnje i jača zaštitu Vaše organizacije bez dodatnih troškova.
Izvor: The Hacker News