100.000'den fazla Windows kötü amaçlı yazılım örneğinin analizi, kötü amaçlı yazılım geliştiricileri tarafından savunmalardan başarılı bir şekilde kaçınmak, ayrıcalıkları artırmak, kötü amaçlı yazılımı yürütmek ve kalıcılığını sağlamak için kullanılan en yaygın teknikleri ortaya çıkardı.
Kötü amaçlı yazılım taktikleri ve teknikleri
Analiz edilen kötü amaçlı yazılım örnekleri çoğunlukla makro etkin belgeler, Windows kısayol dosyaları (LNK), ISO/VHD kapsayıcıları ve MSI yükleyicilerini içeren kötü amaçlı e-posta ekleri aracılığıyla teslim edildi.
Şimdi bu bir sürpriz olmalı savunmadan kaçınma Etkinliği güvenlik çözümleri ve güvenlik ekipleri tarafından engellenmemesine ve/veya fark edilmemesine bağlı olduğundan, kötü amaçlı yazılımların açık ara kullandığı en yaygın taktiktir.
“[The primary defense evasion techniques] Elastic Security Labs'da tespit mühendisi olan Samir Bousseaden, “Bunların kod enjeksiyonu, savunma kurcalama, maskeleme ve sistem ikili proxy yürütmesi ile ilişkili olduğunu” belirtti.
Şu anda popüler olan alt teknikler şunları içerir:
- DLL yandan yükleme
- Ebeveyn PID Sahtekarlığı
- Sistem ikili proxy'lerinin kötüye kullanılması
- Meşru sistem ikili dosyaları gibi görünme
- Kötü amaçlı MSI yükleyicilerinin kullanımı
- Windows Defender'da değişiklik yapmak
- Süreç enjeksiyonu (meşru sistem ikili dosyalarının) ve kendi kendine enjeksiyon
- NTDLL'nin kancasını kaldırma (kullanıcı modu API'lerinin izlenmesine dayalı güvenlik çözümlerini atlamak için)
Ayrıcalık artışı Bousseaden, çoğunlukla erişim belirteci manipülasyonu yoluyla elde edildiğini buldu.
Uygulamak ayrıcalıklı sistem hizmetleri aracılığıyla, Kullanıcı Hesabı Denetimi'nin atlanması, güvenilir dizinlerin taklit edilmesi ve savunmasız sürücülerin kullanılması popüler tekniklerdir.
Kötü amaçlı yazılımlar genellikle Windows'un varsayılan komut ve komut dosyası dillerinden (PowerShell, Javascript, VBscript) yararlanılarak yürütülür, ancak “Python, AutoIt, Java ve Lua gibi diğer üçüncü taraf komut dosyası yorumlayıcılarının kullanılmasına doğru geçişte hafif bir artış oldu” .”
Saldırganlar aynı zamanda meşru bir BT yönetim aracı olan Windows Yönetim Araçları'nı (WMI) kötü amaçlı yükleri yürütmek için kötüye kullanmaktan da hoşlanırlar.
Emin olmak kötü amaçlı yazılım bir dayanak noktası tutuyor Kötü amaçlı yazılım yaratıcıları, güvenliği ihlal edilmiş Windows makinelerinde çoğunlukla şunları yapar:
- Zamanlanmış görevler oluşturun (belirli zamanlarda veya belirli bir zaman aralığında çalışmasını sağlamak için)
- Kayıt defteri çalıştırma anahtarlarını kullanın veya başlangıç klasörüne bir program ekleyin (kullanıcı oturum açtığında kötü amaçlı yazılımın çalıştırılmasını sağlamak için)
- Bir Windows hizmeti oluşturun (kötü amaçlı yazılımı sistemde tekrar tekrar çalıştırmak için)
Analizler tespitin iyileştirilmesine yardımcı olabilir
Bousseaden, analiz ettikleri kötü amaçlı yazılım veri kümesinin boyutunun sınırlı olduğunu kabul etse de, mühendislerin kötü amaçlı yazılım tespitlerini iyileştirmek için bulguları kullanmaya devam edebileceğini belirtti.
Tespit edilen davranışların birçoğunun, yasal yazılımlarda görülen tipik davranışlara benzer olduğu, dolayısıyla savunucuların hatalı pozitif sonuçları azaltmak için belirli davranışlara yönelik birden fazla tespit ile ek sinyalleri birleştirmesi gerektiği sonucuna vardı.