前言
在确定检测工程工作的优先级时,了解在野外观察到的最流行的策略、技术和程序 (TTP) 至关重要。这些知识可以帮助防御者就实施最有效的策略做出明智的决策——尤其是在哪里集中工程工作和有限的资源。
为了突出这些流行的 TTP,我们分析了从我们的动态恶意软件分析工具 Detonate 中提取的几个月内超过 100,000 个 Windows 恶意软件样本。为了生成这些数据和警报,我们利用了 Elastic Defend 行为(映射到 MITRE ATT&CK)和 内存威胁检测规则。应该注意的是,此数据集并非详尽无遗,它可能无法代表恶意软件行为的整个范围,并且特别不包括长期或交互式活动。
以下是用于按文件类型汇总我们数据集的 ES|QL 查询
策略
从策略开始,我们汇总了此恶意软件样本库生成的警报,并根据 process.entity_id 和警报的计数组织了这些警报。如下图所示,最常见的策略包括防御逃避、权限提升、执行和持久性。某些通常与后利用活动相关的策略,例如横向移动,其流行程度较低是可预期的,因为这些操作通常是在初始植入建立后由威胁参与者手动驱动的,而不是由我们数据集中的恶意软件自动执行的。
在以下部分中,我们将深入研究每种策略以及每种策略中影响最大的技术和子技术。
防御逃避
防御逃避涉及对手为避免安全团队或功能检测而采用的方法。检测到的首要策略是防御逃避,触发了 189 条不同的检测规则(几乎占我们当前 Windows 规则的 40%)。注意到的主要技术与代码注入、防御篡改、伪装和系统二进制代理执行相关。
当我们按子技术进行透视时,很明显,某些高级技术(例如DLL 侧加载和父 PID 欺骗)变得越来越流行,即使在非定向恶意软件中也是如此。两者都经常与代码注入和伪装相关联。
此外,系统二进制代理 Rundll32 和 Regsvr32 仍然被大量滥用,恶意 MSI 安装程序在恶意软件交付中的使用显著增加。通过重命名或进程镂空来伪装成合法的系统二进制文件的做法仍然很普遍,这是一种逃避用户怀疑的手段。
篡改 Windows Defender 是最常观察到的防御逃避策略,这强调了防御者认识到对手会试图掩盖其活动的重要性。
进程注入在各种恶意软件家族中都很常见,无论它们是远程针对合法的系统二进制文件以融入其中,还是采用自我注入(有时与通过受信任的二进制文件进行的 DLL 侧加载配对)。此外,NTDLL 取消挂钩的使用量明显增加,以绕过依赖于用户模式 API 监控的安全解决方案(Elastic Defend 不受影响)。
从我们的 shellcode 警报中,我们可以清楚地看到,自我注入比远程注入更普遍
近 50 家独特的供应商的二进制文件被滥用于 DLL 侧加载,其中微软是首选
防御逃避包括各种技术和子技术,由于它们频繁发生,因此需要全面覆盖。例如,除了内存威胁保护之外,我们的 一半 规则是专门为解决此策略而定制的。
权限提升
此策略包含对手用于获取系统或网络上更高权限的技术。最常用的技术与访问令牌操作、通过特权系统服务执行和绕过用户帐户控制相关。
最常观察到的子技术涉及模拟 Trusted Installer 服务,这与防御逃避密切相关,并且通常在尝试操作受系统保护的资源之前进行。
关于用户帐户控制绕过,我们观察到的主要方法是通过模仿受信任的目录进行提升,这也与 DLL 侧加载有关。此外,其他方法(例如通过扩展 startupinfo(提升的父 PID 欺骗)进行提升)在商品恶意软件中越来越普遍。
如下面的列表所示,使用易受攻击的驱动程序 (BYOVD) 来操作受保护的对象并获取内核模式执行权限的情况显着增加。
在下面,您将找到我们的 YARA 规则触发的最常被利用的驱动程序列表
执行
执行包括导致在本地或远程系统上运行对手控制的代码的方法。这些技术经常与其他策略的方法结合使用,以实现更广泛的目标,例如网络侦察或数据盗窃。
此处观察到的最常见技术涉及Windows 命令和脚本语言,通过Windows Management Instrumentation (WMI) 接口代理执行紧随其后。
Powershell 仍然是恶意软件执行链的首选脚本语言,其次是Javascript 和VBscript。多阶段恶意软件交付通常涉及两种或多种脚本语言的组合。
以下是此策略最常触发的端点行为检测列表
Windows 的默认脚本语言仍然是恶意软件执行的首选。但是,使用其他第三方脚本解释器(例如 Python、AutoIt、Java 和 Lua)的情况略有增加。
持久性
恶意软件通常会在受感染的主机上安装自身。这并不奇怪:最常观察到的持久性方法包括计划任务、运行密钥和启动文件夹以及Windows 服务(通常需要管理员权限)。
下面的列表中描述的前三个持久性子技术在常规软件安装中也很常见。因此,有必要将它们分解为具有其他可疑信号的多个检测,以减少误报并提高精度。
初始访问
考虑到数据集的组成,初始访问主要与启用宏的文档和 Windows 快捷方式对象相关联。尽管引爆的样本中有很大一部分还涉及其他格式,例如广泛用于交付的带有 MSI 安装程序的 ISO/VHD 容器,但它们的真正恶意行为通常体现在防御逃避和持久性等领域。
源自恶意 Microsoft Office 文档的最常被滥用的 Microsoft 签名二进制文件与执行和防御逃避策略、命令和脚本解释器以及系统二进制代理执行密切相关。
以下是关于网络钓鱼附件的初始访问最常触发的检测列表
凭据访问
恶意软件中的凭据访问通常与信息窃取器相关联。最常被攻击的凭据通常与Windows 凭据管理器和浏览器密码存储相关。域和系统保护的凭据需要更高的权限,并且更可能是后续阶段的功能。
以下是触发凭据访问最多的端点行为检测的细分
大多数凭据访问行为类似于典型的文件访问事件。因此,必须将它们与额外的信号关联起来并进行丰富,以减少误报并增强理解。
结论
即使这个大约100,000 个恶意软件样本的小数据集仅代表目前野外可能存在的恶意软件的一小部分,我们仍然可以从中得出关于使用我们的行为检测最常见的 TTP 的重要见解。这些见解帮助我们做出关于检测工程优先级的决策,而防御者应该将其作为其策略的一部分。