Az újonnan megjelenő fenyegetésekkel szembeni előretöréshez többre van szükség, mint a legújabb sebezhetőségekre való reagálásra. A robusztus biztonság fenntartásának egyik legfontosabb stratégiája a jövőbeli trendeket előre jelző észlelési képességek kialakítása. Az InQuest FileTAC és MailTAC kínálatának egyik központi eleme a rosszindulatú fájlaláírások robusztus tárháza, amelyek gyakran bizonyítják tartós értéküket, amikor a régebbi szabályok új fenyegetéseket észlelnek. Ebben a hónapban szeretnénk kiemelni a rosszindulatú programok felismerésének jövőbiztosításának fontosságát és a proaktív threat intelligence kritikus szerepét.
Jövőbiztosítás
A jövőbiztosítás olyan rugalmas észlelési módszerek és rendszerek kialakítását jelenti, amelyek előre látják a fejlődő fenyegetéseket és alkalmazkodnak azokhoz. Ez a proaktív megközelítés számos előnnyel jár:
- Hosszú távú hatékonyság: A jól kidolgozott észlelési szabályok továbbra is védelmet nyújtanak az új exploit- és malware-variációk ellen, csökkentve az állandó frissítések szükségességét.
- Erőforrás-hatékonyság: A megbízható észlelési képességek fenntartásával a szervezetek hatékonyabban oszthatják be az erőforrásokat, mivel az új fenyegetésekre összpontosíthatnak anélkül, hogy a régebbi szabályokat folyamatosan felülvizsgálnák.
- Proaktív biztonsági magatartás: A jövőbiztos észlelési intézkedések hozzájárulnak az erősebb általános biztonsági helyzethez, következetes védelmet nyújtva a különböző fenyegetésekkel szemben.
A YARA-szabályok jól megtervezett rendszere remek példa erre a koncepcióra. A YARA-szabályok hatékony eszközök a rosszindulatú programok és más típusú fájlok azonosítására és osztályozására a minták egyezése alapján. Ezek a szabályok nagymértékben adaptálhatók, és testre szabhatók az adott fenyegetések felismeréséhez. Számos olyan nyilvános közösségi YARA-szabálygyűjtemény létezik, amely ebben kiemelkedő. A kiváló minőségű felismerő aláírások egyik igazi erőssége azonban abban rejlik, hogy idővel is hatékonyak maradnak, még akkor is, ha új fenyegetések vagy a meglévő fenyegetések új változatai jelennek meg. Amikor egy régebbi YARA-szabály új kiberbiztonsági fenyegetést észlel, az rávilágít a jól kidolgozott észlelési intézkedések előrelátására és hatékonyságára.
Ez egy olyan terület, amelyre az InQuest nagyon részletesen összpontosított, az általunk mélységi észlelésnek nevezett felderítésről szóló publikációkkal, valamint egy áttekintéssel arról, hogy hogyan végezzük a strukturált fenyegetési kontextust a fenyegetéssorozat-elemzés formájában. E módszerek segítségével az észlelési mérnökök olyan észlelési ellenintézkedések könyvtárát hozhatják létre, amelyek robusztusak, ellenállóak és előre alkalmazhatóak a fenyegetésekkel kapcsolatos változásokra.
A Threat Intelligence kutatás fontossága
A jövőbiztos rosszindulatú programok felderítésének sarokköve a megbízható kibernetikai threat intelligence . Ez magában foglalja a jelenlegi és újonnan megjelenő fenyegető szereplők elemzését, hogy megértsük viselkedésüket, technikáikat és trendjeiket. Emellett egyesíti a tapasztalatokon alapuló meglátásokat és a korábbi fenyegetéskutatás tanulságait, segítve egy olyan idővonal kialakítását, amely támogathatja a trendek és fejlemények szélesebb körű megértését. Ez a kutatás kritikus fontosságú mind a megalapozott szabályalkotás, mind a proaktív védelem szempontjából.
Tudatos szabályalkotás
A legfrissebb fenyegetések ismeretében a kiberbiztonsági szakemberek olyan aláírásokat hozhatnak létre, amelyek előre jelzik a jövőbeli támadási vektorokat és rosszindulatú programok változatait. Az InQuest kutatói pontosan ezzel a felhasználási esettel foglalkoztak, amikor a CVE-2023-36884 elleni ellenintézkedéseket fejlesztették ki. A minta hash-ja a következő: 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97.
A CVE-2023-36884 egy nulladik napi sebezhetőség volt, amelyet a RomCom nevű fenyegető csoport a bűnözéssel kapcsolatos kettős fókuszú műveletekre használt ki, valamint az orosz stratégiai érdekek szolgálatában, a weboldalon, amely kémkedés és hitelesítő adatokhoz való hozzáférés céljábólukrán és NATO-szervezeteket célzott meg. A RomCom csoport különböző mértékben átfedésben van a Storm-0978, Hawker, Tropical Scorpius, UAC-0132, UAC-0168, Void Rabisu és UNC4895 csoportokkal.
Az exploit működése bizonyos szempontból hasonlít egy régebbi, 2017-es sebezhetőséghez(CVE-2017-0199). Egy Microsoft Word dokumentumban egy beágyazott vagy távoli OLE-objektum némán betölthető az eredeti fájl megnyitásakor. Ez a képesség lehetővé teszi, hogy az Office-dokumentumok tetszőlegesen beágyazott tartalmak hordozói legyenek, amit a támadók kihasználva kijátszható, többlépcsős kihasználásokat állíthatnak elő. Ebben a konkrét esetben a kártevő hasznos terhe egy "afchunk.rtf" feliratú beágyazott RTF dokumentumban található. Az ebben az RTF fájlban található objektumon belül ez az exploit kihasználja a CVE-2017-0199 exploitoknál is látott meglévő technikát, hogy egy további hasznos terhet töltsön le egy keményen kódolt URL-címről. Mivel az URL-t SMB-megosztás formájában éri el, visszaél a Windows által a távoli hálózati megosztásoknak adott eredendő bizalommal.
Mivel a kihasználás mögöttes szerkezete hasonló a CVE-2017-0199-hez, csapatunk úgy találta, hogy ez az új sebezhetőség (CVE-2023-36884) kiváltotta néhány régebbi észlelőjelzésünket. Az általunk észlelt átfedések a kihasználások szerkezeti aspektusaiban jelentek meg, még akkor is, ha az alapul szolgáló sebezhetőségek nem kapcsolódtak pontosan egymáshoz.
Ebből az esetből érdekes tanulságot vonhatunk le - egyes észlelési szabályok, ha elég széleskörűen vannak kidolgozva, idővel hasznosak lehetnek, és még a régebbi technikákon alapuló új nulladik napokat is észlelhetik.
Proaktív védelem
A folyamatos threat intelligence kutatás proaktív védelmi stratégiát tesz lehetővé, amely azonosítja és enyhíti a potenciális fenyegetéseket, mielőtt azok kárt okozhatnának. Ezt a koncepciót az InQuest threat intelligence csapata a múlt hónapban valósította meg, amikor a Microsoft URL fájlokban található MHTML sebezhetőség(CVE-2024-38112) felismerésére szolgáló aláírásokat fejlesztett ki.
Az aláírás kifejlesztésekor kutatóink emlékeztettek arra, hogy a Microsoft URL fájlban használt rosszindulatú URL-nek nem feltétlenül kell egy szabványos HTTP-alapú webes hivatkozásnak lennie. Bár a rendelkezésre álló dokumentációban semmi sem bizonyította, hogy a támadók helyi fájl elérési útvonalakat használtak volna ebben a konkrét exploitban, elemzőink megérzései azt sugallták, hogy a támadás variációi lehetségesek. Az InQuest korábbi, a biztonsági funkciók megkerülésére használt internetes parancsfájlokkal (URL-fájlok ) kapcsolatos kutatásai alapján egyértelműnek tűnik, hogy a Windows számos alrendszerét érinthetik a file:// URL-előtag használata esetén az alternatív médiaforrásokon, például SMB-n, WebDAV-n vagy esetleg más protokollokon keresztül elérhető fájlokra vonatkozó védelem alkalmazásának hibái. Úgy tűnik, hogy ez a Windowsban a belső hálózati környezetekben használt, általában megbízhatóbbnak tekintett zónákból származó fájloknak adott bizalomból ered. Valójában ennek a témának a variációit a ZDI nemrégiben ismét felelevenítette a CVE-2024-38213 elemzése során, egyértelművé téve, hogy az ilyen típusú sebezhetőségek elleni ellenintézkedéseknek a bemenetek szélesebb körét kell figyelembe venniük, mint ami azonnal nyilvánvalónak tűnhet. Ennek eredményeképpen az erre az exploitra létrehozott észlelési szignatúrát úgy terveztük, hogy a jövőben előre jelezze az ilyen jellegű változásokat.
Záró gondolatok
Mindkét eset rávilágít egy központi témára: a threat intelligence a robusztus, jövőbiztos észlelési képességek sarokköve. A kézzel készített észlelési szabályok jól példázzák ezt a képességet, mivel gyakran régebbi, jól átgondolt aláírásokkal észlelik az új fenyegetéseket. A mélyreható észleléssel és a fenyegetések robusztus szekvenciaelemzésével kialakított észlelési aláírások általában ellenállóbbak a fenyegetések fejlődésével szemben. Ez az időbeli hatékonyság hangsúlyozza az előrelátás fontosságát a szabályalkotás során, valamint a threat intelligence kutatás kritikus szerepét.
A jövőbiztos intézkedésekre összpontosítva és a threat intelligence oldalra fektetve a szervezetek rugalmasabb biztonsági helyzetet tarthatnak fenn, mivel a fenyegetések folyamatosan fejlődnek.
Az InQuestet nemrégiben felvásárolta az OPSWAT. A bejelentés itt olvasható: OPSWAT Az Inquest felvásárolja a szövetségi piacra lépési stratégiát, a hálózat- és fenyegetés-felderítési képességeket erősítő Inquestet.
Szerző: Hunter Headapohl
