Pentru a rămâne în fața amenințărilor emergente este nevoie de mai mult decât o simplă reacție la cele mai recente vulnerabilități. Una dintre strategiile cheie pentru menținerea unei securități solide este proiectarea unor capacități de detectare care să anticipeze tendințele viitoare. Unul dintre elementele de bază ale ofertelor FileTAC și MailTAC ale InQuest este un depozit solid de semnături de fișiere rău intenționate, care își dovedesc adesea valoarea durabilă atunci când regulile mai vechi detectează noi amenințări. În această lună, dorim să subliniem importanța detectării viitoare a programelor malware și rolul esențial al activității proactive threat intelligence.
Pregătirea pentru viitor
Rezistența în fața viitorului implică conceperea unor metode și sisteme de detectare rezistente care anticipează și se adaptează la amenințările în continuă evoluție. Această abordare proactivă oferă mai multe beneficii:
- Eficacitate pe termen lung: Regulile de detecție bine elaborate continuă să protejeze împotriva noilor exploit-uri și variații de malware, reducând nevoia de actualizări constante.
- Eficiența resurselor: Prin menținerea unor capacități robuste de detectare, organizațiile pot aloca resursele mai eficient, concentrându-se asupra noilor amenințări fără a revizui în mod constant regulile mai vechi.
- Postura de securitate proactivă: Măsurile de detecție adaptate viitorului contribuie la o postură de securitate generală mai puternică, oferind protecție consistentă împotriva diferitelor amenințări.
Un sistem bine conceput de reguli YARA este un exemplu excelent al acestui concept. Regulile YARA sunt un instrument puternic pentru identificarea și clasificarea programelor malware și a altor tipuri de fișiere pe baza potrivirii modelelor. Aceste reguli sunt foarte adaptabile și pot fi adaptate pentru a detecta amenințări specifice. Există o serie de colecții publice comunitare de reguli YARA care excelează în acest sens. Însă unul dintre adevăratele puncte forte ale unei semnături de detectare de înaltă calitate constă în capacitatea sa de a rămâne eficientă în timp, chiar dacă apar noi amenințări sau noi variații ale amenințărilor existente. Atunci când o regulă YARA mai veche detectează o nouă amenințare la adresa securității cibernetice, aceasta evidențiază previziunea și eficiența măsurilor de detecție bine elaborate.
Acesta este un domeniu asupra căruia InQuest s-a concentrat în detaliu, cu publicații despre ceea ce numim detecție în profunzime, precum și o prezentare generală a modului în care realizăm contextul structurat al amenințărilor sub forma analizei secvenței amenințărilor. Utilizând aceste metodologii, inginerii de detectare pot crea o bibliotecă de contramăsuri de detectare care sunt robuste, rezistente și care oferă aplicabilitate în viitor la evoluțiile din peisajul amenințărilor.
Importanța cercetării Threat Intelligence
Site-ul cibernetic robust threat intelligence este piatra de temelie a detectării programelor malware în viitor. Aceasta implică analizarea actorilor actuali și emergenți din domeniul amenințărilor pentru a le înțelege comportamentele, tehnicile și tendințele. De asemenea, aceasta combină perspective bazate pe experiență și lecții din cercetările anterioare privind amenințările, contribuind la furnizarea unei cronologii care poate sprijini o înțelegere mai largă a tendințelor și evoluțiilor. Această cercetare este esențială atât pentru crearea de reguli în cunoștință de cauză, cât și pentru apărarea proactivă.
Crearea în cunoștință de cauză a normelor
Prin înțelegerea celui mai recent peisaj al amenințărilor, profesioniștii din domeniul securității cibernetice pot crea semnături care anticipează viitorii vectori de atac și variantele de malware. Cercetătorii noștri de la InQuest au avut de-a face exact cu acest caz de utilizare atunci când au dezvoltat contramăsuri pentru CVE-2023-36884. Un exemplu de hash pentru aceasta este 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97.
CVE-2023-36884 a fost o vulnerabilitate de tip zero-day care a fost exploatată de un grup de amenințări cunoscut sub numele de RomCom pentru operațiuni cu dublă orientare în spațiul crimeware, precum și în serviciul intereselor strategice ale Rusiei, prin vizând organismeucrainene și aliniateNATO pentru spionaj și motive de acces la acreditări. Grupul RomCom se suprapune în diferite grade cu Storm-0978, Hawker, Tropical Scorpius, UAC-0132, UAC-0168, Void Rabisu și UNC4895.
Modul în care funcționează acest exploit este similar în unele privințe cu o vulnerabilitate mai veche din 2017(CVE-2017-0199). Într-un document Microsoft Word, un obiect OLE încorporat sau de la distanță poate fi încărcat în mod silențios atunci când fișierul original este deschis. Această capacitate permite documentelor Office să fie purtătoare de conținut arbitrar imbricate, pe care atacatorii le folosesc pentru a produce exploatări evazive în mai multe etape. În acest caz particular, încărcătura malware poate fi găsită în interiorul unui document RTF încorporat denumit "afchunk.rtf". În interiorul unui obiect din acest RTF, acest exploit utilizează tehnica existentă observată, de asemenea, în exploatările pentru CVE-2017-0199 pentru a descărca o sarcină utilă suplimentară de la un URL codat. Deoarece URL-ul este accesat sub forma unei partaje SMB, se abuzează de încrederea inerentă pe care Windows o acordă partajelor de rețea la distanță.
Deoarece structura de bază a acestui exploit este similară cu CVE-2017-0199, echipa noastră a constatat că această nouă vulnerabilitate (CVE-2023-36884) a declanșat unele dintre semnăturile noastre de detectare mai vechi. Suprapunerile pe care le-am observat au apărut în aspectele structurale ale modului în care au fost create exploatările, chiar dacă vulnerabilitățile subiacente nu erau legate în mod precis.
Putem învăța o lecție interesantă din acest caz - unele reguli de detectare, atunci când sunt concepute suficient de larg, pot avea utilitate în timp, detectând chiar noi zile zero bazate pe tehnici mai vechi.
Apărare proactivă
Cercetarea continuă threat intelligence permite o strategie de apărare proactivă, identificând și atenuând potențialele amenințări înainte ca acestea să poată provoca daune. Acest concept a fost pus în aplicare de echipa InQuest threat intelligence luna trecută, când a dezvoltat semnături pentru a detecta o vulnerabilitate MHTML în fișierele URL Microsoft(CVE-2024-38112).
Atunci când au dezvoltat această semnătură, cercetătorii noștri și-au amintit că URL-ul malițios utilizat într-un fișier URL Microsoft nu trebuie să fie neapărat un link web standard bazat pe HTTP. Deși nimic din documentația disponibilă nu a demonstrat că atacatorii au folosit căi de acces la fișiere locale în această exploatare specifică, intuiția analistului nostru a sugerat că ar putea fi posibile variații ale atacului. Pe baza cercetărilor anterioare ale InQuest privind fișierele de acces rapid la internet (fișiere URL) utilizate în exploatările de ocolire a caracteristicilor de securitate, pare clar că numeroase subsisteme din Windows pot fi afectate de deficiențe în aplicarea protecției fișierelor accesate prin surse media alternative, precum SMB, WebDAV sau, eventual, alte protocoale, atunci când se utilizează prefixul URL file://. Acest lucru pare să provină din încrederea inerentă acordată în Windows fișierelor provenite din zone considerate de obicei mai de încredere utilizate în mediile de rețea interne. De fapt, variații ale acestei teme sunt reluate din nou recent în analiza ZDI a CVE-2024-38213, clarificând faptul că contramăsurile împotriva acestor tipuri de vulnerabilități trebuie să ia în considerare un set mai larg de intrări decât poate fi imediat evident. Prin urmare, semnătura de detectare pe care am creat-o pentru acest exploit a fost concepută pentru a anticipa acest tip de variație în viitor.
Gânduri finale
Ambele cazuri evidențiază o temă centrală: threat intelligence este piatra de temelie a capacităților de detectare robuste, care rezistă în viitor. Regulile de detectare elaborate manual exemplifică această capacitate, detectând adesea amenințări noi cu semnături mai vechi, bine gândite. Semnăturile de detectare elaborate având în vedere detectarea în profunzime și analiza robustă a secvenței amenințărilor tind să fie mai rezistente în fața evoluțiilor din peisajul amenințărilor. Această eficacitate în timp subliniază importanța previziunii în crearea normelor și rolul esențial al cercetării threat intelligence .
Concentrându-se pe măsuri de viitor și investind în threat intelligence, organizațiile pot menține o poziție de securitate mai rezistentă pe măsură ce peisajul amenințărilor continuă să evolueze.
InQuest a fost recent achiziționată de OPSWAT. Citiți anunțul aici: OPSWAT Achiziția Inquest consolidează strategia federală de lansare pe piață, detectarea rețelelor și capacitățile de detectare a amenințărilor
Autor: Darren Spruell, Hunter Headapohl
