3 способа борьбы с ПО Malicious на ПК — вредоносной программой

Узнайте, как настроить единый вход между Azure Active Directory и CrowdStrike Falcon Platform.

Comments

You can’t perform that action at this time.

Предварительные требования

Чтобы приступить к работе, потребуется следующее.

  • Подписка Azure AD. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Действующая подписка CrowdStrike Falcon.

Описание

CrowdStrike Falcon Host легко интегрируется в вашу текущую среду, позволяя вашей группе безопасности эффективно и эффективно обнаруживать и блокировать действия злоумышленника — в конечном итоге предотвращая ущерб вашей организации с помощью защиты конечных точек нового поколения на основе SaaS. REAL-TIME DETECTIONFalcon Host обеспечивает видимость в реальном времени в действиях противника на каждой конечной точке — все захвачено, ничего не пропущено. Облегченный датчик Falcon немедленно обнаруживает атаки и защищает ваши данные, не прибегая к «сканированию и сканированию» окружающей среды. Подробнее »РЕАЛЬНОЕ ВРЕМЯ INSIGHTFalcon Host использует CrowdStrike Advanced Threat Intelligence Cloud, сочетающий в себе расширенные модели машинного обучения и графических данных для анализа миллиардов событий конечных точек, определения и сопоставления аномалий, чтобы предупредить вас, когда происходит атака. REAL-TIME PROTECTIONПодобные решения, которые Архитектура CrowdStrike Falcon обнаруживает только известные вредоносные программы и индикаторы компрометации (IoC) и мгновенно защищает вас, выявляя индикаторы атаки (IoA), чтобы не дать злоумышленникам поставить под угрозу вашу среду.

Отличительные черты и вред

Зачастую все это зловредное семейство называют вирусами, однако это в корне неверно. Софт этой категории способен долгое время оставаться незамеченным и нацелен на создание условий нестандартной работы системы. Цели подобных «вредителей» могут быть самые разные:

  • нанесение урона системе;
  • создание благоприятных условий для распространения прочего вредоносного софта.

И ни одна компания, разрабатывающая операционные системы, не может дать 100 % гарантии безопасности. Даже такие гиганты, как Microsoft и Apple.

Так выглядит утилита Malicious Software Removal Tool

Осуществляя роль «пропуска» или сам являясь вредоносной программой, этот «лазутчик» способен на следующее:

  • изменить конфигурации браузера и заблокировать пользователю данную возможность;
  • использовать ресурсы компьютера для выполнения сторонних задач (майнинг криптовалют, DDos-атаки), что приводит к снижению производительности;
  • инсталлировать рекламный софт, функционирующий без подключения к интернету;
  • блокировать доступ к инструментам борьбы с ними (антивирусы и сайты);
  • собирать личные данные пользователя (номера банковских карт, пароли и пр.);
  • скрытно скачивать и устанавливать иных вредоносных «братьев».

Трояны запускают рекламные страницы в браузерах

Сложность работы с этой категорией программ заключается в том, что файл при сканировании может иметь пометку «malicious confidence 90%», но при этом не быть вредоносным.

The Initial Detection

The initial activity triggered a detection within the CrowdStrike Falcon® platform, tagged with MITRE’s technique T1036, “Masquerading.” An executable appeared to have been manipulated to evade detection and was attempting to launch a PowerShell script with the following command line:

«C:Intelrexc.exe» -exec bypass Intelg.ps1

During a review of the process tree, we noticed that “rexc.exe” appeared to be a renamed PowerShell binary in an attempt to bypass and avoid detections.

Figure 1. Initial detection

Further reviewing the process tree, Falcon captured “AnydeskSetup.exe” running from the user’s Downloads directory. A quick review of the file and the behavior observed from its execution revealed that this was not a normal AnyDesk installer due to several reasons:

  1. The file observed was signed by “Digital IT Consultants Plus Inc.” and not by the creators of AnyDesk, “philandro Software GmbH.”
  2. The network activity generated by the application was to a domain (anydeskstat[.]com) registered on April 9, 2021, and hosted at a Russian IP address with the following registrant information:

    Figure 2. Registrant information for anydeskstat[.]com

  3. Upon execution, a PowerShell implant was written to %TEMP/v.ps1 and executed with a command line switch of “-W 1” to hide the PowerShell window.
    1. C:WindowsSystem32cmd.eXe /c powershell -exec bypass -W 1 «C:Usersredacted.userAppDataLocalTempv.ps1” 

At this point in the investigation, we knew this was not a legitimate AnyDesk install and felt confident that the activity was malicious in nature, meaning that a thorough investigation was warranted. Additionally, we reached out to the OverWatch and Intelligence teams for parallel collaboration as we continued our deep-dive investigation into this detection.

We then proceeded to remotely connect to the affected host using Falcon Real Time Response (RTR) to gather additional insights into the detection. We were able to capture and acquire a copy of the PowerShell script “v.ps1” that was initially observed. The script had some obfuscation and multiple functions that resembled an implant as well as a hardcoded domain (zoomstatistic[.]com) to “POST” reconnaissance information such as user name, hostname, operating system, IP address and the current process name. In addition to the hardcoded domain, the script also had a specific user-agent string and URI to connect to, as seen in the snippet below:

Figure 3. v.ps1 PowerShell script snippet

The rest of the script contains a while loop that runs and posts recon data to its C2 while waiting for a response from the server. The logic we observed is very similar to logic observed and published by Inde, where a masqueraded Zoom installer dropped a similar PowerShell script from an external resource. In this scenario, we noticed this PowerShell script being dropped from: https://anydeskstat[.]com/statistic/statistics.php?w=<HOSTNAME>

Figure 4. URLDownloadToFile function (Click to enlarge)

Pseudocode describing execution capabilities of v.ps1:

function yrfed — C2 function to receive and upload taskingfunction ughrz — Recon function — UserDomainName, UserName, MachineName, IP Address, Operating System Version, True/False if user is System, Current Process Namefunction vnzmt — Command Handling — Dir, GetPID, Whoami, Hostname, or execute code via Powershell IEX (with or without additional arguments) function jufsd — Gets current directory that the script is running in Main execution while loop: Runs the Recon function and posts to the C2 Receives SessionID to track unique implants Loop and check in with C2 and execute commands based on the response

During execution of v.ps1, Falcon captured the follow net commands being executed:

C:windowssystem32net.exe user redacted.user /domC:windowssystem32net.exe user /dom

In some instances, there were additional commands, which makes us believe that there was some network and domain user profiling such as:

C:WINDOWSsystem32systeminfo.exeC:WINDOWSsystem32ipconfig.exeC:WINDOWSsystem32PING.EXE -n 1C:windowssystem32net.exe net group «domain admins» /domainC:WINDOWSsystem32cmd.exe /C systeminfoC:WINDOWSsystem32cmd.exe /C arp -a

The CSharp compiler was also seen writing a DLL to %TEMP%. However, this DLL was not present during the investigation. We believe this to be a Cobalt Strike beacon DLL due to similar activity observed leveraging a PowerShell Cobalt Strike payload against a different customer. 

The weaponized AnyDesk installer also wrote persistence into the Startup directory:

C:Users\AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupAnyDesk.exe

At this point in the investigation, our initial thought was that the delivery mechanism was through a phishing or social engineering attempt. It was now time to pivot the investigation into Endpoint Activity Monitoring (EAM) to gain further context and determine the origin of the activity.

Investigation with Endpoint Detection and Response Data

When investigating a detection seemingly dropping from a Setup or Installer file, one of the first investigative steps to address is to understand how that installer was written to disk.

By querying Falcon endpoint detection and response (EDR) data, we were able to see the following pattern:

  • DnsRequest: adservice.google[.]com
  • DnsRequest: googleadservices[.]com
  • DnsRequest: domohop[.]com
  • DnsRequest: anydesk.s3-us-west-1.amazonaws[.]com
  • PeFileWritten to Google Chrome User Data Cache
  • ProcessRollup2: Usersredacted.userDownloadsAnydeskSetup.exe
  • NewExecutableWritten: Usersredacted.userAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupAnyDesk.exe
  • DirectoryCreate: Usersredacted.userAppDataRoamingAnyDesk
  • ProcessRollup2: «C:Usersredacted.userDownloadsAnydeskSetup.exe» —local-control
  • ProcessRollup2:  «C:Usersredacted.userDownloadsAnydeskSetup.exe» —local-service

The DnsRequests and PeFileWritten via Google Chrome confirmed our suspicion that the activity started with a user-initiated download, but when diving deeper to investigate the cause, we made a fascinating finding in the user’s web traffic: The user had been attempting to search for “AnyDesk” using Google Chrome and was served up a malicious advertisement that forced a redirect to domohop[.]com, leading to the trojanized version of AnyDesk.

Figure 5. User’s web traffic (Click to enlarge)

Описание сценария

В рамках этого руководства вы настроите и проверите единый вход Azure AD в тестовой среде.

  • CrowdStrike Falcon Platform поддерживает единый вход, инициированный поставщиком службы и поставщиком удостоверений.

Заражение и профилактика

Чтобы вражеский софт, например malicious moderate ml score, запустился, пользователю необходимо самому произвести этот процесс. Именно по этой причине Malware обычно замаскирован под интересующий человека контент. Это могут быть тематические:

  • изображения;
  • видеоролики;
  • GIF-ки и прочее.

Без помощи пользователя программа попасть на компьютер не может. Поэтому основная рекомендация по профилактике заражения основывается на обязательном сканировании антивирусом всех поступающих на компьютер файлов. К числу последних также относятся вложения электронных писем.

Добавление CrowdStrike Falcon Platform из коллекции

Чтобы настроить интеграцию CrowdStrike Falcon Platform с Azure AD, добавьте CrowdStrike Falcon Platform из коллекции в список управляемых приложений SaaS.

  1. Войдите на портал Azure с помощью личной учетной записи Майкрософт либо рабочей или учебной учетной записи.
  2. В области навигации слева выберите службу Azure Active Directory.
  3. Перейдите в колонку Корпоративные приложения и выберите Все приложения.
  4. Чтобы добавить новое приложение, выберите Новое приложение.
  5. В разделе Добавить из коллекции введите CrowdStrike Falcon Platform в поле поиска.
  6. Выберите CrowdStrike Falcon Platform на панели результатов, а затем добавьте приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Самостоятельное выявление

Если сложилось так, что в ваш компьютер проник «вредитель», то не стоит решать эту проблему переустановкой Windows. Для начала нужно попытаться избавиться от нежелательного гостя. Но стоит помнить, что некоторые представители такого софта, так называемые Empress Malware (элита вредоносных программ), имеют хорошую защиту и их удаление практически невозможно.

При обнаружении маркеров наличия вражеского софта необходимо начать с проверки и поиска зараженных участков.

  1. Обнаружение резидентных программ. Эти процессы, оставленные в памяти после их исполнения, ведут постоянную слежку. Их обнаружение осуществляется анализом списка текущих задач в диалоговом окне. Существенным минусом такого способа является опасность завершения важного процесса. Последствием действия может стать появление «синего экрана смерти».
  2. Выявление поддельных имен. Создавая подобные имена собственных процессов, вредоносные программы маскируются под естественные. Их главный принцип — создание визуально схожей подмены. Для чего бывает достаточно заменить один символ на другой или поменять соседствующие буквы местами.
  3. Закрытые или дублирующиеся программы. Возникновения нескольких копий одной программы или наличия закрытой в памяти при отсутствии malicious code быть не должно. Занятие значимого объема ресурсов при закрытых приложениях должно насторожить пользователя.

Один из лучших и проверенных сканеров — KVRT

Способы борьбы

Чтобы полностью избавиться и исключить процесс, называемый в профессиональной среде rebirth (с англ. перерождение), необходимо использовать комплекс борьбы с «вредителями»:

  • ручное выявление;
  • проверка антивирусами;
  • проверка узконаправленными программами Malicious Software Removal Tool.

Последний софт представлен в самых различных вариациях. Он может быть направлен на выявление уже имеющихся вредителей или же на сканирование всего входящего трафика для предупреждения заражения компьютера.

Дальнейшие действия

После настройки CrowdStrike Falcon Platform вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.

Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...