Taktyki, techniki i procedury (TTP) stanowią podstawę nowoczesnych strategii obronnych. W przeciwieństwie do IOC TTP są bardziej ustandaryzowane, co czyni je niezawodnym sposobem identyfikacji konkretnych zagrożeń cybernetycznych. Oto niektóre z najczęściej stosowanych technik zgodnie z raportem ANY.RUN z III kwartału 2024 r. dotyczącym trendów w zakresie złośliwego oprogramowania, wraz z przykładami ze świata i mapowaniem na Mitre.
1. Wyłączenie rejestrowania zdarzeń audytu Windows (T1562.002)
Zakłócenie rejestrowania Windows Event Log pomaga atakującym zapobiec zachowywaniu przez system kluczowych informacji o ich złośliwych działaniach. Bez rejestrów zdarzeń ważne szczegóły, takie jak próby logowania, modyfikacje plików i zmiany w systemie nie są zapisywane, pozostawiając najczęściej rozwiązania zabezpieczające i analityków z niekompletnymi lub brakującymi danymi. Audytem systemu Windows można manipulować na różne sposoby, w tym poprzez zmianę kluczy rejestru lub używanie poleceń takich jak „net stop eventlog”. Zmiana zasad grupy to kolejna powszechna metoda. Ponieważ wiele mechanizmów wykrywania opiera się na analizie dzienników Windows w celu identyfikacji podejrzanych działań, malware może działać niezauważenie przez dłuższy okres.
Przykładem z życia może być tutaj malware XWorm, wyłączający dzienniki usługi dostępu zdalnego. Konkretnie modyfikuje on rejestr, aby wyłączyć dzienniki śledzenia dla RASAPI32, który odpowiada za zarządzanie połączeniami zdalnego dostępu w systemie. Ustawiając ENABLEAUTOFILETRACING i inne wpisy rejestru powiązane z RASAPI32 na 0, atakujący upewnia się, iż dzienniki nie zostaną wygenerowane. Utrudnia to wszelkim narzędziom bezpieczeństwa zidentyfikowanie incydentu.
2. Exploitacja z użyciem PowerShell (T1059.001)
PowerShell to język skryptowy i powłoka wiersza poleceń wbudowana w system Windows. Atakujący zwykle wykorzystują go do wykonywania różnych złośliwych zadań, w tym manipulowania ustawieniami systemu, eksfiltracji danych i ustanawiania trwałego dostępu do naruszonych systemów. Podczas korzystania z rozległych możliwości programu PowerShell atakujący mogą wykorzystywać techniki zaciemniania, takie jak polecenia kodowania lub zaawansowane metody skryptowe, aby ominąć mechanizmy wykrywania.
Malware o nazwie BlanGrabber używa programu PowerShell do wyłączenia wykrywania na systemie Windows. Ostatecznie wykorzystywany jest do kradzieży poufnych danych z zainfekowanych systemów. Po wykonaniu złośliwy program uruchamia kilka procesów, w tym program PowerShell, aby zmienić ustawienia systemu i uniknąć wykrycia.
3. Nadmierne wykorzystanie powłoki poleceń systemu Windows (T1059.003)
Atakujący często wykorzystują również powłokę poleceń systemu Windows (cmd.exe), czyli wszechstronne narzędzie używane do legalnych zadań administracyjnych, takich jak zarządzanie plikami i uruchamianie skryptów. Jego powszechne zastosowanie sprawia, iż jest atrakcyjnym wyborem do ukrywania szkodliwych działań. Korzystając z powłoki poleceń, atakujący mogą wykonywać wiele złośliwych komend, od pobierania ładunków z serwerów zdalnych po uruchamianie złośliwego oprogramowania. Powłoka może być również używana do wykonywania skryptów programu PowerShell. Ponieważ cmd.exe jest zaufanym i szeroko stosowanym narzędziem, złośliwe polecenia mogą wtapiać się w legalną aktywność, utrudniając systemom bezpieczeństwa identyfikację zagrożeń i reagowanie na nie w czasie rzeczywistym. Atakujący mogą również stosować techniki zaciemniania w swoich poleceniach, aby jeszcze bardziej uniknąć wykrycia.
Złośliwe oprogramowanie o nazwie Lumma wykorzystuje CMD w wykonywaniu ładunku. W tym przypadku proces CMD.exe uruchamia aplikacje z nietypowym rozszerzeniem i wprowadza zmiany w zawartości pliku wykonywalnego, co wskazuje, iż proces jest nadużywany przez atakujących.
4. Modyfikacja kluczy rejestru dotyczących automatycznego uruchamiania aplikacji (T1547.001)
Aby zapewnić automatyczne uruchamianie złośliwego systemu przy każdym starcie systemu, atakujący dodają wpisy do określonych kluczy rejestru. Złośliwe pliki mogą być również umieszczane w folderze startowym – specjalnym katalogu, który system Windows automatycznie skanuje i uruchamia programy po zalogowaniu się użytkownika. Dzięki użyciu kluczy Run i RunAtBoot oraz folderu startowego atakujący mogą utrzymywać długoterminową trwałość, co pozwala im kontynuować złośliwe działania, takie jak eksfiltracja danych, ruch boczny w sieci lub dalsza exploitacja systemu.
W środowisku naturalnym możemy zaobserwować malware Remcos, który zyskuje trwałość dzięki klucza RUN. W tym przypadku modyfikowany klucz rejestru to HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN.Dodając wpis do tego klucza, backdoor Remcos zapewnia, iż zostanie automatycznie uruchomiony przy każdym nowym logowaniu. Pozwala to złośliwemu oprogramowaniu zachować trwałość w zainfekowanym systemie.
5. Opóźnianie wykonania w czasie (T1497.003)
Opóźnianie wykonania złośliwego kodu to technika stosowana przez malware w celu uniknięcia wykrycia przez rozwiązania zabezpieczające, które opierają się na piaskownicy. Wiele piaskownic ma ograniczone okresy monitorowania, często wynoszące zaledwie kilka minut. Opóźniając wykonanie złośliwej akcji, oprogramowanie może uniknąć wykrycia w tym krótkim oknie czasowym. Innym powszechnym celem tej TTP jest sprawienie, aby złośliwe oprogramowanie wydawało się „łagodne” podczas wstępnej analizy, zmniejszając prawdopodobieństwo oznaczenia go jako podejrzanego. Opóźnienie wykonania może utrudnić narzędziom analizy behawioralnej korelację początkowego łagodnego zachowania z późniejszymi złośliwymi działaniami.
Złośliwe oprogramowanie często polega na wielu komponentach lub plikach, aby przeprowadzić proces infekcji. Opóźnienia mogą pomóc zsynchronizować wykonywanie różnych części złośliwego oprogramowania. Na przykład jeżeli malware musi pobrać dodatkowe komponenty ze zdalnego serwera, opóźnienie może zapewnić, iż te komponenty zostaną w pełni pobrane i gotowe przed wykonaniem głównego ładunku.
Dark Crystal RAT jest jedną z wielu rodzin złośliwego oprogramowania, które polegają na technikach unikania opartych na czasie, aby pozostać niezauważonym w zainfekowanym systemie. W kontekście następującej sesji sandbox możemy zaobserwować, jak DCRAT pozostaje uśpiony przez zaledwie 2000 milisekund, czyli 2 sekundy, przed kontynuowaniem wykonywania. Prawdopodobnie ma to na celu zapewnienie, iż wszystkie pliki potrzebne do następnego etapu procesu infekcji są gotowe do wykonania.
Podsumowanie
Przypominamy, iż spis oraz matryca wszystkich taktyk, technik i procedur używanych przez popularne malware znajduje się na oficjalnej stronie Mitre Att&ck. Warto w wolnej chwili zapoznać się z nimi wszystkimi, a już na pewno z tymi najpopularniejszymi w ostatnich latach. Pozwoli to na przeprowadzanie analizy postincydentalnej w przemyślany i bardziej skuteczny sposób, a także na zaplanowanie strategii wykrywania.