Samir Bousseaden

揭示恶意软件行为趋势

分析超过100,000个恶意Windows文件的数据集

阅读 7 分钟安全研究
Unveiling malware behavior trends

前言

在优先考虑检测工程工作时,了解在野外观察到的最普遍的战术、技术和程序 (TTP) 至关重要。这些知识有助于防御者做出关于最有效策略的明智决策,尤其是在哪里集中工程工作和有限资源方面。

为了突出这些普遍的 TTP,我们分析了从我们的动态恶意软件分析工具之一Detonate中提取的数月内超过100,000 个 Windows 恶意软件样本。为了生成这些数据和警报,我们利用了 Elastic Defend 行为(映射到 MITRE ATT&CK)和内存威胁检测规则。需要注意的是,此数据集并非详尽无遗,它可能无法代表恶意软件行为的全部范围,并且特别不包括长期或交互式活动。

下面是一个ES|QL 查询,用于按文件类型汇总我们的数据集

战术

从战术开始,我们汇总了此恶意软件样本语料库生成的警报,并根据process.entity_id和警报的数量对其进行了整理。如下图所示,最常见的战术包括防御规避、权限提升、执行和持久性。某些通常与后期利用活动相关的战术,例如横向移动,预期具有较低的流行率,因为这些操作通常是在建立初始植入物后由威胁参与者手动驱动,而不是由我们数据集中恶意软件自动驱动。

在以下部分中,我们将深入探讨每种战术以及对每种战术影响最大的技术和子技术。

防御规避

防御规避涉及对手用来避免安全团队或功能检测的方法。检测到的首要战术是防御规避,触发了 189 个不同的检测规则(几乎占我们当前 Windows 规则的 40%)。注意到的主要技术与代码注入防御篡改伪装系统二进制代理执行相关。

当我们按子技术进行枢纽时,很明显,某些高级技术,例如DLL 侧加载父 PID 欺骗变得越来越流行,即使在非目标恶意软件中也是如此。两者都经常与代码注入和伪装相关联。

此外,系统二进制代理Rundll32Regsvr32仍然被高度滥用,恶意MSI 安装程序用于恶意软件交付的利用率也显著上升。通过重命名或进程掏空来伪装成合法系统二进制文件的做法仍然很普遍,这是一种逃避用户怀疑的手段。

篡改 Windows Defender 是最常观察到的防御规避战术,强调防御者必须认识到对手会试图掩盖其活动。

进程注入在各种恶意软件家族中普遍存在,无论它们是远程攻击合法的系统二进制文件以融入其中,还是采用自我注入(有时与通过受信任的二进制文件进行 DLL 侧加载配对)。此外,NTDLL 取消挂钩的使用也明显增加,以绕过依赖于用户模式 API 监视的安全解决方案(Elastic Defend 不受影响)。

从我们的 shellcode 警报中,我们可以清楚地看到自注入比远程注入更普遍

近 50 个独特供应商的二进制文件被滥用于 DLL 侧加载,其中微软是首选

防御规避包括各种技术和子技术,由于其频繁出现,因此需要全面覆盖。例如,除了内存威胁防护之外,我们还有一半的规则专门针对此战术。

权限提升

此战术包括对手用来在系统或网络上获得更大权限的技术。最常用的技术与访问令牌操作、通过特权系统服务执行以及绕过用户帐户控制相关。

最常观察到的子技术涉及模拟受信任安装程序服务,这与防御规避密切相关,并且通常在尝试操作系统保护资源之前。

关于用户帐户控制绕过,我们观察到的主要方法是通过模拟受信任目录进行提升,这也与 DLL 侧加载相关。此外,其他方法,如通过扩展的 startupinfo(提升的父 PID 欺骗)进行提升在商品恶意软件中也越来越普遍。

从下面的列表中可以看出,使用易受攻击的驱动程序(BYOVD)来操作受保护的对象和获取内核模式执行权限的做法显著增加。

下面,您将找到由我们的YARA 规则触发的最常被利用的驱动程序列表

执行

执行包含导致在本地或远程系统上运行对手控制的代码的方法。这些技术经常与来自其他战术的方法相结合,以实现更广泛的目标,例如网络侦察或数据盗窃。

这里观察到的最常见的技术涉及Windows 命令和脚本语言,通过Windows 管理规范 (WMI) 接口代理执行紧随其后。

Powershell仍然是恶意软件执行链的首选脚本语言,其次是JavascriptVBscript。多阶段恶意软件交付通常涉及两种或多种脚本语言的组合。

以下是此战术最常触发的端点行为检测列表

Windows 的默认脚本语言仍然是恶意软件执行的首选。但是,使用其他第三方脚本解释器(如 Python、AutoIt、Java 和 Lua)的趋势略有上升。

持久性

恶意软件通常会将自身安装到受感染的主机上。这里没有惊喜:最常观察到的持久性方法包括计划任务运行键和启动文件夹以及Windows 服务(通常需要管理员权限)。

下面列表中显示的前三种持久性子技术在常规软件安装中也很常见。因此,有必要将它们分解成多个检测,并添加其他可疑信号,以减少误报并提高精度。

初始访问

考虑到数据集的组成,初始访问主要与启用宏的文档和 Windows 快捷方式对象相关联。尽管很大一部分引爆的样本还涉及其他格式,例如广泛用于交付的包含 MSI 安装程序的 ISO/VHD 容器,但它们的真正恶意行为通常体现在防御规避和持久性等方面。

最常滥用的来自恶意 Microsoft Office 文档的 Microsoft 签名二进制文件与执行和防御规避战术、命令和脚本解释器以及系统二进制代理执行密切相关。

以下是关于网络钓鱼附件的初始访问中触发频率最高的检测列表。

凭据访问

恶意软件中的凭据访问通常与信息窃取程序相关联。最常被攻击的凭据通常与Windows凭据管理器浏览器密码存储相关。域和系统保护的凭据需要提升的权限,更有可能成为后续阶段的功能。

以下是触发凭据访问次数最多的端点行为检测的细分。

大多数凭据访问行为类似于典型的文件访问事件。因此,必须将它们与其他信号相关联并丰富它们,以减少误报并增强理解。

结论

即使这个大约10万个恶意软件样本的小型数据集仅代表目前野外可能存在的恶意软件的一小部分,我们仍然可以从中获得关于使用我们的行为检测的最常见TTP的重要见解。这些见解有助于我们做出关于检测工程优先级的决策,防御者应该将其作为其策略的一部分。

分享此文章

TwitterFacebookLinkedInReddit