Teknik Kegigihan Malware memungkinkan penyerang untuk mempertahankan akses ke titik akhir yang dikompromikan meskipun sistem reboot, perubahan kredensial, atau gangguan lainnya. Metode umum termasuk mengubah konfigurasi, menyuntikkan kode startup, dan membajak proses yang sah.
Pendekatan-pendekatan ini memastikan malware atau penyerang tetap aktif, memungkinkan kegiatan jahat untuk berlanjut tanpa perlu eksploitasi ulang.
Dalam artikel ini, kita akan memeriksa sifat teknik kegigihan malware, dampaknya, dan strategi untuk mempertahankannya.
Teknik kegigihan malware umum
Katalog Kerangka Mitra Att & CK katalog berbagai teknik yang digunakan oleh aktor ancaman untuk mempertahankan kegigihan. Di bawah ini adalah contoh teknik kegigihan malware dari kerangka kerja yang memungkinkan penyerang untuk mempertahankan akses jangka panjang ke titik akhir yang dikompromikan:
T1053 – Tugas/Pekerjaan Terjadwal
Fitur Penjadwalan Tugas Penyalahgunaan Musuh untuk menjalankan kode berbahaya berulang kali atau pada interval yang ditetapkan. Utilitas bawaan seperti penjadwal tugas (windows), cron (Linux), dan peluncuran (MacOS) dapat menjalankan program atau skrip pada waktu yang ditentukan atau sebagai tanggapan terhadap peristiwa tertentu.
T1037 – skrip inisialisasi boot atau logon
Penyerang mengkonfigurasi skrip untuk dieksekusi selama boot sistem atau logon pengguna, memastikan persistensi atau eskalasi hak istimewa. Di Linux, mekanisme seperti rc.local, init.datau systemd biasanya digunakan untuk meluncurkan kode berbahaya saat startup.
T1543 – Membuat atau memodifikasi proses sistem
Proses tingkat sistem seperti layanan Windows, Daemon Linux, atau agen peluncuran MacOS berjalan secara otomatis di latar belakang. Aktor ancaman dapat menginstal atau memodifikasi proses ini untuk menjalankan muatan berbahaya saat startup atau selama operasi sistem.
T1136 – Buat akun
Musuh dapat membuat akun pengguna lokal, domain, atau cloud baru pada sistem yang dikompromikan untuk mempertahankan akses. Dengan hak istimewa yang cukup, akun ini dapat digunakan untuk akses berkelanjutan tanpa memerlukan alat akses jarak jauh yang persisten.
T1098 – Manipulasi Akun
Manipulasi akun memungkinkan penyerang untuk mempertahankan atau meningkatkan akses dengan memodifikasi kredensial, mengubah keanggotaan grup, atau melewati kebijakan keamanan. Misalnya, menambahkan tombol SSH ke ~/.ssh/otorisasi_keys Mengaktifkan akses jarak jauh yang persisten tanpa memerlukan kata sandi.
Dampak Teknik Kegigihan Malware
Teknik persistensi malware dirancang untuk memastikan penyerang mempertahankan akses jangka panjang ke sistem yang dikompromikan. Di bawah ini, kami mengeksplorasi beberapa dampak teknik kegigihan malware.
Waktu tinggal yang diperpanjang
Teknik-teknik persistensi malware memungkinkan penyerang tetap berada di lingkungan yang dikompromikan untuk jangka waktu lama tanpa memerlukan eksploitasi ulang.
Kehadiran yang diperpanjang ini, yang sering berlangsung selama berminggu -minggu atau berbulan -bulan, memberi mereka waktu untuk menjelajahi jaringan, meningkatkan hak istimewa, dan merencanakan gerakan selanjutnya dengan hati -hati sebelum dideteksi.
Penghindaran remediasi
Bahkan setelah penghapusan awal, penyerang dapat mendapatkan kembali akses menggunakan mekanisme kegigihan seperti tugas yang dijadwalkan, layanan berbahaya, atau akun pengguna yang tidak sah.
Ini membuat upaya pembersihan tidak efektif kecuali semua mekanisme kegigihan diidentifikasi dan dihapus.
Exfiltrasi Data
Akses persisten sering digunakan dalam ancaman persisten canggih (APT), di mana penyerang secara bertahap mengeksfiltrasi data selama periode yang lama untuk mempertahankan infiltrasi dan eksploitasi jangka panjang.
Ini memungkinkan informasi sensitif, seperti kredensial atau data bisnis, dicuri dari waktu ke waktu.
Penempatan malware tambahan
Dengan akses terus menerus, penyerang dapat memperkenalkan alat berbahaya tambahan, termasuk ransomware, backdoors, atau Trojans akses jarak jauh.
Ini selanjutnya dapat mengkompromikan sistem atau memperluas permukaan serangan di seluruh jaringan.
Kepatuhan peraturan yang dikompromikan
Teknik -teknik persistensi malware memungkinkan penyerang untuk mempertahankan akses yang tidak sah ke sistem dalam waktu yang lama.
Akses jangka panjang ini dapat menyebabkan pelanggaran standar regulasi, seperti GDPR, HIPAA, dan PCI DSS, yang membutuhkan perlindungan data yang ketat, integritas sistem, dan pemberitahuan pelanggaran.
Cara mempertahankan teknik kegigihan malware
Pertahanan terhadap teknik kegigihan membutuhkan pendekatan berlapis yang menggabungkan deteksi, pencegahan, dan respons insiden.
Di bawah ini adalah beberapa strategi pertahanan utama:
1. Manajemen Patch: Beberapa teknik kegigihan mengeksploitasi kerentanan yang diketahui dalam sistem operasi, aplikasi, atau driver. Dengan menerapkan tambalan secara teratur ke komponen -komponen ini, Anda dapat secara signifikan mengurangi permukaan serangan yang tersedia.
2. Pemantauan Integritas File (FIM): FIM membantu mendeteksi perubahan yang tidak sah pada file kritis, seperti skrip startup, konfigurasi tugas yang dijadwalkan, kunci registri, atau binari aplikasi. Dengan memantau file -file sensitif ini, Anda dapat mengidentifikasi ketika penyerang berusaha untuk mendapatkan kegigihan.
3. Pemantauan Akun Pengguna: Kegigihan sering melibatkan pembuatan akun pengguna baru, memodifikasi yang sudah ada, atau meningkatkan hak istimewa. Pemantauan terus -menerus dari pembuatan akun, penghapusan, dan perubahan izin dapat mengungkapkan perilaku yang mencurigakan.
4. Konfigurasi Sistem Harden: Mengamankan Konfigurasi Baseline mengurangi risiko penyerang menyalahgunakan fitur sistem untuk kegigihan. Ini termasuk menonaktifkan layanan yang tidak digunakan, menegakkan kebijakan kata sandi yang kuat, membatasi hak administratif, dan menggunakan kebijakan grup untuk membatasi perilaku autorun.
5. Perburuan Ancaman: Melakukan perburuan ancaman proaktif memungkinkan tim keamanan untuk mendeteksi mekanisme kegigihan tersembunyi yang menghindari alat otomatis. Ini termasuk mencari perilaku yang mencurigakan, seperti eksekusi proses yang tidak biasa, tugas yang dijadwalkan, atau malware yang lama tidak aktif.
6. Keamanan Endpoint: Menyebarkan alat perlindungan titik akhir yang kuat seperti XDR memungkinkan pemantauan aktivitas real-time dan blok perilaku kegigihan yang diketahui. Alat titik akhir modern dapat mendeteksi dan secara otomatis menanggapi indikator seperti perubahan registri, instalasi layanan, dan eksekusi skrip yang tidak sah.
Bagaimana Wazuh bertahan melawan teknik kegigihan malware
Wazuh adalah solusi keamanan siap perusahaan yang gratis dan open source yang menyediakan perlindungan SIEM dan XDR terpadu di beberapa beban kerja.
Ini memberikan pandangan terpusat untuk deteksi ancaman dan pemantauan keamanan di lingkungan tervirtualisasi, di tempat, berbasis cloud, dan kemudahan.
Wazuh menawarkan beberapa kemampuan untuk bertahan melawan teknik kegigihan malware. Kemampuan ini termasuk, tetapi tidak terbatas pada:
- Respons aktif
- Pemantauan Integritas File (FIM)
- Penilaian Keamanan dan Konfigurasi (SCA)
- Analisis Data Log
- Deteksi Kerentanan
Respons aktif
Modul Respons Aktif Wazuh memungkinkan tim keamanan untuk mengotomatisasi tindakan respons berdasarkan pemicu yang telah ditentukan, membantu mereka mengelola insiden keamanan secara efisien. Otomasi memastikan bahwa acara prioritas tinggi ditangani segera dan konsisten.
Wazuh menyediakan beberapa skrip respons bawaan yang dapat melakukan tindakan seperti memblokir lalu lintas jaringan berbahaya atau menghapus file yang terinfeksi dari titik akhir yang dipantau.
Dalam contoh di bawah ini, modul respons aktif menonaktifkan akun Linux yang telah ditargetkan oleh upaya login brute-force.
Pemantauan Integritas File (FIM)
Modul Wazuh FIM memantau file dan direktori, menghasilkan peringatan ketika pengguna atau proses membuat, memodifikasi, atau menghapus file yang dipantau. Ini membangun garis dasar dengan memindai dan menyimpan checksum dan atribut file.
Ketika pengguna atau proses mengubah file, modul membandingkan checksum dan atributnya dengan baseline dan memicu peringatan jika ketidakcocokan terdeteksi.
Posting blog Mendeteksi teknik kegigihan linux umum dengan wazuh Menyoroti bagaimana modul Wazuh FIM mendeteksi persistensi malware pada titik akhir Linux.
Kami menggunakan modul FIM untuk memantau perubahan Systemd Layanan dan pengatur waktu pada titik akhir yang dipantau. Sejak Systemd Mengelola layanan dan tugas startup, memantau file konfigurasinya penting untuk mendeteksi perubahan yang tidak sah.
Penilaian Keamanan dan Konfigurasi (SCA)
Pengerasan sistem mengurangi permukaan serangan dengan menghilangkan kesalahan konfigurasi dan komponen yang tidak perlu. Modul Wazuh SCA membantu meningkatkan pengerasan sistem dengan memindai titik akhir yang dipantau untuk mendeteksi kesalahan konfigurasi dan merekomendasikan tindakan remediasi. Ini menggunakan file kebijakan untuk memeriksa pengaturan sistem, file, proses, dan entri registri.
Misalnya, SCA Wazuh dapat menilai apakah perlu mengubah kebijakan kata sandi, menghapus perangkat lunak yang tidak perlu, menonaktifkan layanan yang tidak perlu, atau mengaudit konfigurasi jaringan.
Pada Gambar 3 di bawah ini, hasil pemindaian Wazuh SCA menunjukkan gagal Karena otentikasi kunci publik untuk SSH tidak diaktifkan.
Analisis Data Log
Wazuh memberikan visibilitas ke infrastruktur TI Anda dengan mengumpulkan, menganalisis, dan menyimpan log dari titik akhir, perangkat jaringan, dan aplikasi.
Agen Wazuh, yang berjalan pada titik akhir yang dipantau, mengumpulkan dan meneruskan sistem dan log aplikasi ke server Wazuh untuk dianalisis. Analisis data log memungkinkan deteksi ancaman, pemantauan kinerja, pemecahan masalah, audit kepatuhan, dan identifikasi kegiatan anomali.
Di dalam Mendeteksi teknik kegigihan windows dengan wazuhagen Wazuh mengumpulkan log dari titik akhir Windows dan meneruskannya ke server Wazuh untuk dianalisis. Ini membantu mengidentifikasi tanda -tanda kegigihan malware, seperti pembuatan akun yang tidak sah, perubahan pada folder pemula atau kunci registri, dan modifikasi pada layanan.
Gambar 4 di bawah ini menggambarkan deteksi modifikasi ke layanan Windows.
Deteksi Kerentanan
Modul Deteksi Kerentanan Wazuh mengidentifikasi kerentanan dalam sistem operasi dan aplikasi yang diinstal dengan mengkorelasikan inventaris perangkat lunak dengan data kerentanan yang diketahui dalam Wazuh CTI platform. Ini menghasilkan peringatan yang ditampilkan di dasbor Wazuh, memberikan pandangan yang jelas tentang kerentanan di semua titik akhir yang dipantau.
Ini membantu tim keamanan mengambil tindakan proaktif untuk mengurangi risiko dan memperkuat pertahanan sistem sebelum eksploitasi terjadi.
Dasbor Deteksi Kerentanan pada Gambar 5 di bawah ini menyoroti nama paket, OS, agen, ID kerentanan, dan tingkat keparahan kerentanan yang terdeteksi.
Kesimpulan
Teknik-teknik persistensi malware memungkinkan penyerang untuk mempertahankan akses jangka panjang ke sistem yang dikompromikan, menimbulkan risiko signifikan terhadap keamanan organisasi.
Pertahanan terhadap teknik-teknik ini membutuhkan pendekatan berlapis-lapis yang menggabungkan langkah-langkah proaktif, seperti pengerasan sistem, FIM, penambalan reguler, perburuan ancaman, dan pemantauan pengguna.
Wazuh meningkatkan pertahanan ancaman dengan memberikan beberapa kemampuan untuk mendeteksi dan menanggapi aktivitas mencurigakan di seluruh titik akhir yang dipantau, termasuk teknik kegigihan malware. Ini memungkinkan tim keamanan untuk memantau perubahan yang tidak sah, tugas yang dijadwalkan, proses yang tidak biasa, modifikasi akun, dan indikator kompromi lainnya.
Mulailah menggunakan Wazuh hari ini untuk memperkuat strategi pertahanan organisasi Anda. Anda juga dapat bergabung dengan mereka masyarakat untuk dukungan profesional.
Disponsori dan ditulis oleh Wazuh.
