روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در حملاتی که به زیرساخت شرکتهای مختلف میشود، مجرمان سایبری به طور فزایندهای دارند روی به دستکاری ماژولهایی میآورند که با پروسه LSA (حفاظت محلی امنیتی[1]) در تعاملند. این به آنها قدرت میدهد تا اطلاعات محرمانه کاربر را سرقت کرده، در سیستم جا خشک کنند، مزیتها را بالا برده یا حمله را تا سیستمهای دیگرِ سازمان هدف پیش ببرند. از این رو، ما برای جدیدترین آپدیت سهماههی خود در سیستم SIEMما که پلتفرم یکپارچه تحلیل و نظارت کسپرسکی نام داد قوانینی مخصوص شناسایی چنین حملاتی طراحی کردیم. از حیث دستهبندی MITRE ATT&CK، قوانین جدید میتوانند تکنیکهای T1547.002, T1547.005 و T1556.002 را شناسایی کنند.
این تکنیکها چه هستند؟
هر دو سویه تکنیک T1547 که بالاتر اشاره کردیم شامل استفاده از پروسه LSA برای لود کردن ماژولهای مخرب میشوند. تکنیک زیرمجموعه 002 افزودن آرشیوهای لینک پویا و مخرب را با بستههای احراز ویندوز شرح میدهد و این درحالیست که تکنیک زیرمجموعه 005 شامل DLLهایی میشود با بستههای SSP[2]. لود کردن این ماژولها به مهاجمین اجازه میدهد تا به حافظه پروسه LSA دسترسی پیدا کنند که این خود حاوی دادههای حیاتی است (دادههای مهم کاربر). تکنیک T1556.002 سناریویی را شرح میدهد که در آن مهاجم، در سیستم یک فیلتر مخرب پسورد DLL ثبت میکند. این فیلترها در اصل مکانیزمهایی برای اجرای خطمشیها پسورد هستند. وقتی کاربری قانونی پسوردی را عوض کرده یا یکی جدید میسازد، پروسه LSA آن را با همه فیلترهای ثبتشده مقایسه میکند و مجبور میشود به مدیریت پسوردها در قالب متن ساده که همان حالت رمزگذارینشده است. اگر مهاجم سعی داشته باشد در سیستم فیلتر مخرب پسورد را بیاورد، میتوانند با هر درخواستی پسوردها را جمع کنند. همه این سه تکنیک شامل قرار دادن آرشیوهای مخرب در دایرکتوری C:\Windows\system32 و ثبتشان در رجیستری سیستم تحت کلیدهای زیر میشوند: SYSTEM\CurrentControlSet\Control\LSA\ branch:
بستههای احراز برای T1547.002، بستههای امنیتی برای T1547.005 و بستههای نوتیفیکیشن برای T1556.002
چطور SIEM ما با این تکنیکها مقابله میکند؟
برای مقابله با این تکنیکها، پلتفرم مانیتورینگ و تحلیل یکپارچه کسپرسکی با قوانین R154_02–R154_10 بهروزرسانی میشود که از جمله موارد زیر را شناسایی میکند:
- بارگیری بستههای احراز هویت مشکوک، بستههای فیلتر رمز عبور و ماژولهای ارائه دهنده پشتیبانی امنیتی با استفاده از رویدادهای 4610، 4614 و 4622، به ترتیب.
- دستوراتی که در cmd.exe و powershell.exe اجرا میشوند و با هدف تغییر شاخه رجیستری LSA و کلیدهای بستههای احراز هویت، بستههای نوتیف و بستههای امنیتی انجام میشوند.
- تغییرات (که از طریق رویداد اصلاح رجیستری 4657 شناسایی شد) شاخه رجیستری LSA که میتواند یک فایل مخرب را فعال کند.
سایر پیشرفتها در آپدیت پلتفرم نظارت و تحلیل یکپارچه کسپرسکی
در این آپدیت همچنین قانون R999_99 را نیز که کارش شناسایی تغییرات در خصوصیات حیاتی اکانتهای Active Directory است مانند scriptPath و msTSInitialProgram -که میگذارند خیلی از اقدامات با لاگین اجرا شوند. این خصوصیات اجازه میدهند هر بار که کاربر به سیستم وارد میشود برخی اسکریپتها اجرا شوند. این برای مهاجمینی که هدفشان جا خشک کردن در شبکه است یک لقمه چرب و نرم به نظر میآید. دستکاری این خصوصیات شاید نشاندهنده تلاشهای غیرقانونی در سماجت در شبکه یا ارتقای مزیت باشد- تکنیک T1037.003 زیر دستهبندی MITRE ATT&CK. استراتژی شناسایی این دستکاریها، نظارت لاگهای رخداد ویندوزی است خصوصاً رخداد 5136. این رخداد هر تغییر اعمالشده روی اشیاء Active Directory را شامل دستکاریهای خصوصیات ثبت میکند.
پس از آخرین به روزرسانی، پلتفرم SIEM ما بیش از 700 قانون را ارائه میدهد. بنابراین، تا پایان سال 2024، راهکار ما 400 تکنیک MITER ATT&CK را پوشش خواهد داد. البته، هدف ما ایجاد قوانینی برای تشخیص هر تکنیک توصیف شده در ماتریس نیست. بخش قابل توجهی از آنها را نمیتوان به دلیل ماهیت آنها به طور کامل بررسی کرد - برای مثال، اقداماتی که شامل اقداماتی میشوند که خارج از محیط محافظت شده انجام می شوند یا تکنیک هایی که به طور کامل توسط راه حل های SIEM پوشش داده نمیشوند. با این حال، در سه ماهه چهارم سال جاری، ما بر گسترش بیشتر پوشش تکنیکهای MITER ATT&CK تمرکز کردهایم و در عین حال منطق تشخیص را برای تکنیکهای قبلاً پوششدهی شده بهبود میبخشیم.
عادیسازهای جدید و ارتقایافته
در آخرین بهروزرسانی، عادیسازها را نیز به سیستم SIEM خود اضافه کردهایم که از منابع رویداد زیر پشتیبانی میکنند:
[OOTB] سیستم لاگ سیستم پایانی مک آفی DLP
[OOTB] LastLine Enterprise syslog cef
[OOTB] MongoDb syslog
[OOTB] سیستم لاگ فایروال GajShield
[OOTB] Eltex ESR syslog
[OOTB] سیستم لاگ سیستم حسابرسی لینوکس برای KUMA 3.2
[OOTB] سیستم ورود به سیستم دروازه امنیت ایمیل Barracuda Cloud
[OOTB] Yandex Cloud
[OOTB] InfoWatch Person Monitor SQL
[OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog
علاوه بر این، کارشناسان ما عادیسازهای زیر را بهبود دادهاند:
[OOTB] محصولات مایکروسافت از طریق KES WIN
[OOTB] محصولات مایکروسافت برای KUMA 3
[OOTB] KSC از SQL
[OOTB] Ideco UTM syslog
[OOTB] تله متری KEDR
[OOTB] Vipnet TIAS syslog
[OOTB] PostgreSQL pgAudit syslog
[OOTB] KSC PostgreSQL
[OOTB] سیستم لاگ سیستم حسابرسی لینوکس برای KUMA 3.2
فهرست کامل منابع رخداد مورد حمایت در این پلتفرم در بخش Online Help جایی که همچنین میتوانید اطلاعاتی از قوانین همبستگی پیدا کنید موجود است. در بلاگ ما همچنین قادرید در خصوص آپدیتهایی که روی پلتفرم SIEM خود سهماههی اول، دوم و سوم سال میلادی جاری اعمال کردیم بخوانید.
[1] Local Security Authority
[2]ارائهدهنده پشتیبانی امنیت
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
