Malware forsvar: Hvordan oppdage og redusere avansert unndragelser techniques

I tillegg til nye funksjoner i malware, det er en relativt ny idé rundt " å leve av jorda, " hvor angripere bruker innebygd eller legitime verktøy for å hindre angrepene sine fra å bli oppdaget av antimalware programvare. Den Poweliks malware er det siste eksempelet på at dette skjer.

I dette tipset, jeg vil diskutere siste fremskritt malware og bedriften styrer nødvendig for å oppdage og kontrollere malware.
Malware fremskritt
Det bør ikke være noen overraskelse at malware vil fortsette å avansere og automatisere noen av sine mest effektive manuelle angrepsteknikker.

TROJ_POWELIKS.A eller Poweliks
er fileless malware designet for å laste ned annen malware som vil kontrollere den kompromitterte systemet. Poweliks krever en egen første infeksjonen vektor for å kompromittere det lokale systemet og installere malware, som det har blitt rapportert, er en ondsinnet Word-fil. Etter den første infeksjonen, er malware installert og lagret i registeret som en kodet biblioteket for dynamiske koblinger (DLL) som tas ut og injiseres i legitime Dllhost.exe prosesser som kjører på et system, som vil deretter utføre den.

Mens lagre en DLL i registeret er ikke en vanlig metode for å installere skadelig programvare på et endepunkt, vil det gjøre det vanskeligere å oppdage malware, fordi ikke alle antimalware verktøy sjekke registeret. Men for verktøy som gjør kontrollere registret, finne en registernøkkel med en betydelig mengde data ville absolutt være noe å varsle på. Den Poweliks malware også kjører Powershell kommandoer for å fullføre angrepet. Powershell kommandoer kunne ha blitt brukt til å unngå å bli oppdaget ved å leve av jorda, siden Powershell er installert på de fleste systemer og har avansert funksjonalitet for å kommunisere med operativsystemet som er nødvendig for å gjennomføre angrepet.

Andre malware har fortsatte også å gjøre fremskritt slik at det kan være lønnsomt for malware forfattere. Den modne Zeus malware fortsetter å innlemme nye funksjoner; den mest nylig rapportert funksjonalitet legges til at det var en bedre sosial-engineering angrep der malware falske en nettleser advarsel for å få brukeren til å installere skadelig programvare. Tilsvarende har iBanking.Android lagt til ny funksjonalitet hvor den bruker falske sikkerhetsprogrammer for å få brukeren til å installere skadelig programvare. Det stjeler da SMS-meldinger som brukes i to-faktor autentisering.
Enterprise kontroller nødvendig for å oppdage og kontrollere avanserte malware

Påvisning av avansert malware kan gjøres mange forskjellige måter. Flertrinns malware, som Poweliks og flertrinns angrep kan gi bedriftene mer tid til å oppdage malware fordi hvert trinn tar tid; imidlertid hvert trinn kanskje ikke nødvendigvis trenger å bli oppdaget fordi de enkelte trinnene seg selv ikke kan være skadelig.

I eksempelet på Poweliks, kan dens flertrinns aspekt være vanskelig å oppdage når hver enkelt trinn skjer, men korrelere alle av etappene og handlinger kan bidra til å oppdage og redusere skadelig aktivitet.

for eksempel, mens Powershell script er nyttig for systemadministratorer eller avanserte brukere, noen sluttbrukere utvikle og bruke dem. Oppdager ondsinnede Powershell kommandoer er vanskelig fordi det er mange legitime bedriften bruker av Powershell funksjoner. Men for Powershell script som brukes av sluttbrukere, kan systemadministratorer kreve skriptet som skal signeres før henrettelsen; Dette vil bidra til å blokkere alle malware fra å kjøre ondsinnet skript. Mens denne politikken ikke ville stoppe en dedikert angriper, kan det heve bar nok til å frustrere dem og hindre et angrep.

Selv påvise Powershell aspekt av Poweliks malware kan være vanskelig, oppdage sin kommando og kontroll infrastruktur og nettverkstilkoblinger kan være enklere. Trendmicro blogginnlegg nevner en bestemt IP som kan brukes som en indikator på kompromiss slik at en bedrift kan overvåke sitt nettverk for eventuelle forbindelser til IP og undersøke hver tilkobling. Overvåking for avvikende nettverkstilkoblinger kan også bidra til å identifisere en kompromittert system som krever ytterligere etterforskning. Dette kan inkludere å se på NetFlow logger for å se hvilke systemer er de beste pratmakere til eksterne IP-adresser eller systemer med et betydelig antall mislykkede autentiseringsforsøk.

Den nylig endret Zeus malware og iBanking.Android malware kan identifiseres gjennom trinn i likhet med de som brukes til å identifisere Poweliks, da de er avhengige av bevissthet. Zeus varianten kan oppdages ved å overvåke nettverket for forbindelser til kommando-og-kontroll IP; iBanking.Android kan oppdages ved hjelp av en mobil antimalware verktøy som skanner systemet etter ondsinnede filer.

Legg merke til at oppdagelsen er bare en del av effektivt kontrollere malware i bedriften. Streng reaksjon på hendelser med malware er avgjørende for å minimere effekten fra en kompromittert system.
Konklusjon

Det bør ikke være noen overraskelse at malware vil fortsette å avansere og automatisere noen av sine mest effektive manuelle angrep teknikker. Som enterprise malware forsvarstiltak blitt mer sofistikert, vil malware uunngåelig finne nye metoder for å omgå dem. Dette vil kreve konstant oppmerksomhet fra bedriftene for å kontrollere og redusere potensielle angrep. Enterprise sikkerhetskontroller og teknologier må vetted hele tiden for å sikre at de er effektive mot dagens angrep. Endre sikkerhetsprogrammer og kontroller når nye angrep eller sårbarheter er oppdaget er avgjørende for gjenværende i forkant av kurven.

Det er også viktig for en bedrift å ikke bare vurdere hvordan den klarer sine systemer, men også vurdere håndteringen av sine systemer for å bestemme om visse funksjoner - for eksempel Powershell script - potensielt kan medføre nye risikoer i sitt miljø og vil kreve ytterligere politikk for å hindre sårbarheten utnyttes

Om forfatteren: Nick Lewis, CISSP, er den tidligere informasjonssikkerhet offiser ved Saint Louis University. Nick fikk Master of Science grader i informasjon forsikring fra Norwich University i 2005 og i telekommunikasjon fra Michigan State University i 2002. Før han begynte i Saint Louis University i 2011, Nick jobbet ved University of Michigan og ved Boston Children Hospital, primær pediatrisk undervisning sykehus ved Harvard Medical School, samt for Internet2 og Michigan State University.