Блокирование индикаторов - это техника уклонения от защиты, которую злоумышленники используют для того, чтобы помешать средствам безопасности обнаружить или сообщить о вредоносной активности путем вмешательства в индикаторы компрометации (IOC). Такие решения безопасности, как системы обнаружения и реагирования на конечные точки (EDR), антивирусные программы и системы обнаружения вторжений (IDS), используют такие индикаторы компрометации, как хэши файлов, сетевые подключения, имена доменов и изменения в реестре, чтобы выявлять и отмечать потенциальные угрозы. Блокируя генерирование, регистрацию и передачу этих показателей, атакующие могут избежать обнаружения и сохранить устойчивость во взломанной среде.
Что такое индикаторы компрометации?
Индикаторы компрометации - это следы или признаки, которые можно проанализировать для обнаружения и идентификации вредоносной деятельности в компьютерной сети или системе. Системные администраторы и специалисты по безопасности используют их для распознавания потенциальных угроз и оперативного реагирования. Аномалии сетевого трафика, артефакты файлов и памяти, модификации реестра и аномалии конечных точек - это распространенные индикаторы, используемые службами безопасности для мониторинга ИТ-инфраструктуры организации.
Использование злоумышленниками блокировки индикаторов
Злоумышленники скрывают или блокируют различные индикаторы, на которые обычно полагаются специалисты по безопасности для выявления и реагирования на потенциальные угрозы. Такие действия позволяют им оставаться незамеченными как можно дольше, чтобы максимально расширить доступ к целевой сети. Техника блокирования индикаторов позволяет злоумышленникам нарушать работу средств защиты, не выводя их из строя. В системах Windows злоумышленники используют следующие методы блокировки индикаторов:
Перенаправление датчиков на хосте: Злоумышленники перенаправляют журналы Windows Software Trace Preprocessor (WPP) в stdout.
| 1 | wevtutil.exe enum-logs > "C:\ProgramData\EventLog.txt" |
Отключение датчиков на базе хоста: Злоумышленники отключают Event Tracing for Windows (ETW).
| 1 | wevtutil.exe /e:false Microsoft-Windows-WMI-Activity/Trace |
Еще один способ помешать контролю безопасности - подключить системные функции, чтобы пользователи не могли просматривать вредоносные артефакты, процессы и действия сокетов. В мае 2024 года сообщалось, что руткит Ebury использовал эту технику в Operation Windigo для обхода и сохранения защиты. Злоумышленники использовали модифицированные символические ссылки и подключали функции readdir, realpath, readlink и их варианты к вредоносному файлу libkeyutils.so, который, по всей видимости, указывал на легитимный файл. Они также подключили функции stat, open и их варианты, чтобы скрыть вредоносный файл, и пользователи могли просматривать только легитимный файл libkeyutils.so.
| 1 2 3 4 5 6 7 8 9 10 | //До того, как руткит Ebury начнет действовать ls -la /lib/x86_64-linux-gnu/ | grep -F libkeyutils libkeyutils.so.1 → libkeyutils.so. 1. 10.2 libkeyutils.so. 1. 10 libkeyutils.so. 1.10.2 //После вступления в силу руткита Ebury ls -la /lib/x86_64-linux-gnu/ | grep -F libkeyutils libkeyutils.so.1 → libkeyutils.so. 1. 10 libkeyutils.so.1.10 |