В рамках регулярного исследования ландшафта угроз для России и СНГ наши эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Мы, в свою очередь, тщательно изучили наиболее часто используемые атакующими техники и оперативно доработали или добавили в нашу SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года мы дополнили и расширили логику для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых злоумышленниками.
Оглавление
Как злоумышленники отключают или модифицируют локальный межсетевой экран
Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.
Распространены два способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:
netsh firewall add allowedprogram
netsh firewall set opmode mode=disable
netsh advfirewall set currentprofile state off
netsh advfirewall set allprofiles state off
Пример ветки реестра и значения, добавленного атакующими, разрешающих входящий UDP трафик для приложения C:Users<user>AppDataLocalTempserver.exe:
Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}
Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:
Users<user>AppDataLocalTempserver.exe|Name=server.exe|’}
Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:
Как наше SIEM-решение выявляет T1562.004
Делается это было с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:
остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений;
отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода (конфигурирование или отключение межсетевого экрана через netsh.exe);
изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений (изменение правил через реестр Windows);
отключения злоумышленником локального межсетевого экрана через реестр;
манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик
С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правил с непосредственно детектирующей логикой. Также мы доработали 20 старых правил путем исправления или корректировки условий.
Почему мы ориентируемся на классификацию MITRE
MITRE ATT&CK for Enterprise, служит де-факто отраслевым стандартом и включает в себя 201 технику, 424 подтехники и тысячи процедур. Поэтому, выбирая направление развития нашей SIEM-платформы, Kaspersky Unified Monitoring and Analysis Platform (KUMA), мы, среди прочего, основываемся именно на принятой у MITRE классификации.
Как и обещали в одном из предыдущих постов, мы начали включаем разметку текущих правил в соответствии с методами и тактиками атак MITRE с целью расширить функции системы и отобразить степень защиты от известных угроз. Это важно, потому что позволяет структурировать детектирующую логику и убедиться в полноте правил — что нет «белых» пятен. Мы также ориентируемся на MITRE, когда разрабатываем OOTB (Out-of-the-box) контент нашей SIEM платформы. На данный момент наше решение покрывает 309 техник MITRE ATT&CK.
Что еще мы добавили и доработали в KUMA SIEM
Кроме вышеупомянутой логики детектирования T1562.004, мы добавили в SIEM-систему KUMA нормализаторы, позволяющие работать со следующими источниками событий:
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN — нормализатор предназначен для обработки части событий из журналов Security, System операционной системы Microsoft Windows Server. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA KES WIN 6 по syslog.[OOTB] Extreme Networks Summit Wireless Controller — нормализатор для некоторых событий аудита устройства Extreme Networks Summit Wireless Controller (Модель: WM3700, версия прошивки: 5.5.5.0-018R).
[OOTB] Kaspersky Security for MS Exchange SQL — нормализатор для событий системы Kaspersky Security for Exchange (KSE) версия 9.0, хранящихся в БД.
[OOTB] Tionix VDI file — нормализатор, поддерживающий обработку части событий системы Tionix VDI (версия 2.8), хранящихся в файле tionix_lntmov.log.
[OOTB] SolarWinds DameWare MRC xml — нормализатор, поддерживающий обработку части событий системы DameWare Mini Remote Control (MRC) версия 7.5, хранящихся в журнале Application операционной системы Windows. Нормализатор обрабатывает события, создаваемые провайдером «dwmrcs».
[OOTB] H3C Routers syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств H3C (Huawei-3Com) SR6600 (прошивка Comware 7) по syslog. Нормализатор поддерживает формат событий «standard»(RFC 3164-compliant format).
[OOTB] Cisco WLC syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств Cisco WLC (2500 Series Wireless Controllers, 5500 Series Wireless Controllers, 8500 Series Wireless Controllers, Flex 7500 Series Wireless Controllers) по syslog.
[OOTB] Huawei iManager 2000 file — нормализатор, поддерживающий обработку части событий системы Huawei iManager 2000, хранящихся в файлах clientlogsrpc, clientlogsdeployossDeployment.
Также, наши эксперты доработали следующие нормализаторы:
для продуктов компании Microsoft — переработанный нормализатор для Windows выложен в публичный доступ.
для системы PT NAD — разработан новый нормализатор для PT NAD версии 11.1, 11.0.
для UNIX-подобных операционных систем — реализована поддержка дополнительных типов событий;
для CheckPoint — работа над нормализатором с целью поддержки Checkpoint R 81
для системы Citrix NetScaler — реализована поддержка дополнительных событий Citrix ADC 5550 — NS13.0.
для FreeIPA — переработанный нормализатор выложен в публичный доступ.
Итого у нас поддерживается уже около 250 источников, и мы продолжаем расширять этот список, а также повышать качество каждого из коннекторов. С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции поставляемых из коробки.
Блог Касперского