Cómo fortiedr protege contra el malware .NET desconocido y cómo analizar la actividad relacionada

Consulta técnica sobre FortiEDR

Descripción

El informe FortiGuard Global Threat Panorama Report publicado a principios de este año destacó un aumento de 10,7 veces en el volumen de ransomware detectado en los entornos de los clientes en 2020. Esto no es sorprendente dado que los proveedores de seguridad de todo el mundo detectan cientos de miles de nuevas variantes de malware todos los días. . La investigación destacó que el 74 % de las amenazas detectadas durante el primer trimestre de 2021 eran muestras de malware desconocidas o muestras sin firma conocida.

El equipo de Detección y Respuesta Administrada (MDR) de FortiGuard monitorea las redes de los clientes en todo el mundo a través de FortiEDR. Muchos de los eventos generados por FortiEDR están relacionados con el comportamiento asociado con algunas de estas muestras desconocidas. El propósito de este artículo es demostrar con muestras desconocidas tomadas del entorno de un cliente cómo FortiEDR ha empleado de manera efectiva el aprendizaje automático, el sandboxing en línea y las capacidades de detección de comportamiento para mitigar algunas de estas nuevas muestras, cómo puede usar FortiEDR para analizar el contexto de ‘No confirmado’. Alertas de ejecutables en su entorno y cómo configurar mejor FortiEDR para detectar esta actividad.

Las muestras analizadas en este artículo se eliminaron como parte de una intrusión más grande luego de un compromiso exitoso de un servidor de Microsoft Exchange 2016. El estado final de la intrusión es la ejecución de una variante personalizada del popular software de minería Monero (criptomoneda) XMRig. La aplicación XMRig en sí no es maliciosa, pero una parte de este ejecutable se configura manualmente para extraer criptomonedas en nombre de un actor malicioso. En el entorno de cliente de MDR afectado, esto resultó en un uso de CPU de hasta el 100 % en el punto final de destino y un rendimiento degradado para los usuarios finales normales mientras funcionaba.

 

Análisis de muestras desconocidas

Para comprender mejor el comportamiento detectado por FortiEDR, es útil ver cuáles son las dos muestras analizadas en este artículo. Los ejecutables ‘service_update.exe’ y ‘FileSyncConfig.exe’ son ejecutables .NET sin firmar con características muy similares (consulte la Figura 1). Las funciones principales de los ejecutables no están ofuscadas, pero ambos contienen cuatro recursos integrados; DATOS1, DATOS2, DLL1 y DLL2. Estos recursos se cifran con claves AES codificadas de forma rígida y métodos de descifrado internos idénticos que se ejecutan en los recursos integrados a medida que se ejecutan los archivos. Este tipo de diseño de software rara vez es benigno e indica un intento de mitigar la eficacia del análisis basado en firmas estáticas.

 

Figure 1. View of ‘FileSyncConfig.exe’ features in dnSpy. Note the embedded resources on the left hand panel and the way the DATA1 and DATA2 resources are decrypted and executed as part of the main method.

 

Artículos relacionados  Qué recopilar si un sistema está colgado y no responde

Es importante tener en cuenta aquí que en el momento de la detección, tanto los archivos analizados como los ejecutables integrados que contienen eran completamente desconocidos, es decir, los hash y los nombres de archivo no se marcaron como maliciosos entre las fuentes de inteligencia de amenazas de FortiGuard Labs o en Virus Total. Afortunadamente, los servicios en la nube de FortiEDR emplean un espacio aislado dinámico para ayudar a analizar archivos anómalos. Ambos archivos en el archivo leído fueron marcados por la ‘Política de prevención de ejecución’ de FortiEDR como un ‘Ejecutable no confirmado’. Esto se puede ver en los eventos 7 y 9 en la Figura 2 a continuación. Los ejecutables que se clasifican como no confirmados contienen campos adicionales que no utiliza el sistema operativo y que a menudo están presentes en el malware para complicar la ejecución y reducir la eficacia del análisis automatizado.

 

Análisis de eventos con FortiEDR

Este evento fue detectado originalmente por el equipo de respuesta de FortiGuard junto con una notificación al cliente sobre el alto uso de la CPU en algunos hosts dentro de su entorno. Mirando la pestaña de análisis forense, el gráfico de eventos muestra un árbol de proceso lineal estándar, como se muestra a continuación en la Figura 2.

 

Figure 2. Event graph associated with ‘Unconfirmed Executable’ events caused by the ‘service_update.exe’ and ‘FileSyncConfig.exe’ executables.

 
El descifrado dinámico de los recursos integrados se puede observar en los eventos con FortiEDR identificando el archivo DLL1.dll que se está desempaquetando en la memoria (evento 9 en la Figura 2) mediante el ejecutable ‘FileSyncConfig.exe’. Usando la función ‘Recuperar’ disponible en la pestaña Análisis forense, un analista podría extraer un volcado de la memoria que contiene este dll para un análisis más detallado.

 

Figure 3. The ‘Retrieve’ function which is accessible from the Forensics tab can be used to pull memory from a collector which is useful to support analysis of file less malware.

 
A través de la vista Stacks en la pestaña Forensics, podemos ver la ruta del archivo, los argumentos de la línea de comando y el hash del archivo para cada archivo. Curiosamente, los metadatos asociados con este ejecutable ‘FileSyncConfig.exe’ se han rellenado con metadatos similares a los del archivo legítimo del mismo nombre. Esto demuestra un intento claro, aunque infructuoso, de hacerse pasar por un archivo legítimo.
 

Figure 4. Metadata fields of the ‘FileSyncConfig.exe’ executable have been populated with metadata to make the file appear more legitimate. The description for the actual FileSyncConfig file should be ‘Microsoft OneDrive Configuration Application’ and the product should be ‘Microsoft OneDrive’.

 

Volviendo a lo largo de la cadena de procesos, podemos ver que el ejecutable FileSyncConfig se llamó desde ‘schtasks.exe’ (evento 8 en la Figura 2). Este es un ejecutable firmado de Microsoft y es un binario que se usa para interactuar con las tareas programadas de Windows. Mirando la vista de pilas de FortiEDR, podemos ver los argumentos de la línea de comando utilizados para ejecutar el proceso. En este caso, se usó el comando ‘/Run /I /TN “MicrosoftWindowsSyncCenterSyncConfigTask”’. Una mirada rápida al archivo de ayuda del ejecutable schtasks identifica que este comando ejecutaría (/Run) inmediatamente (/I switch) la tarea ‘SyncConfigTask’ (/TN <nombre de la tarea>). La ruta a esa tarea programada (MicrosoftWindowsSyncCenter) es interesante ya que es una ruta de tareas predeterminada en Windows 10 que se crea para las tareas de Microsoft OneDrive. Esta es una demostración más de los intentos de hacerse pasar por una aplicación legítima.

Artículos relacionados  Onprem fortiedr Manager, Core, Aggregator Platform Commands

 

Moviéndonos a lo largo de la cadena hasta el evento 7 en la Figura 2, podemos ver que un proceso ‘service_update.exe’ (el otro ejecutable no confirmado) inició el proceso schtasks discutido anteriormente. Más adelante, en el evento 6 podemos ver que un proceso svchost con la línea de comando ‘-k netsvcs -p -s Schedule’ generó el proceso ‘service_update.exe’. Esta línea de comando indica que esta actividad fue el resultado de una tarea programada dado que hace referencia al servicio ‘Programar’ después del interruptor ‘-s’, que es el servicio ‘Programador de tareas’ y la referencia al grupo de servicios ‘netsvcs’ que aloja este servicio de forma predeterminada.

 

Figure 5. Stacks view of event 6 from Figure 2 demonstrating svchost executing the ‘service_update.exe’ executable. Command line arguments indicate it is part of a scheduled task due to references to ‘Task Scheduler’ service.

 

En el paso final del análisis, podemos ver el evento 5 en la Figura 2 a través de la vista de pilas para identificar la causa raíz de esta ejecución. Como se muestra en la Figura 6, el proceso de origen es otro proceso svchost; sin embargo, este tiene los argumentos de la línea de comando ‘-k netsvcs -p -s gpsvc’. Estos argumentos de la línea de comandos son similares al svchost anterior pero tienen ‘gpsvc’ después de la opción -s. Esto hace referencia al ‘Servicio de política de grupo’ que indica que esta cadena de procesos se inició originalmente a partir de un cambio de política de grupo enviado al host afectado.
 

Figure 6. Stacks view of event 5 from Figure 2 demonstrating svchost executing the previously analyzed (Figure 5) svchost hosting the ‘Task Scheduler’ service. This process references the ‘Group Policy Service’.

 
Como se describe en el análisis anterior, podemos ver que FortiEDR es una herramienta eficaz para respaldar el análisis rápido de eventos sospechosos y permite a los administradores de sistemas mitigar las amenazas identificadas. En el contexto de la intrusión más amplia, la actividad anterior fue causada por un cambio de política de grupo que se implementó en toda la red comprometida y la información obtenida a través de FortiEDR fue utilizada por el equipo de MDR para contener y eliminar de manera efectiva la amenaza en el entorno de los clientes. .

 

Artículos relacionados  La instalación de fortiedr en Windows 7 y Windows Server 2008 R2 SP1 requiere el parche KB de MS KB2921916

Configuración de FortiEDR para detectar y mitigar ejecutables no confirmados

En el caso de las muestras analizadas en este artículo, FortiEDR se configuró en modo ‘Simulación’. En el modo de simulación, los eventos que se detectaron y se mitigarían se notifican y las mitigaciones no se aplican. Esto significa que la actividad asociada con ‘FileSyncConfig.exe’ y ‘service_update.exe’ fue detectada pero no mitigada por FortiEDR. La Figura 7-10 a continuación muestra cómo las reglas correspondientes en las políticas de seguridad de Ejecución, Exfiltración y Ransomware deben tener su estado establecido en «Habilitado» y la acción establecida en «Bloquear» para garantizar que se puedan bloquear ejecutables anómalos como este. Hay razones legítimas muy limitadas para que un archivo benigno posea las características que desencadenan estas reglas, por lo que se recomienda habilitar las reglas ‘Ejecutable no confirmado’ y ‘Archivo no confirmado’ para maximizar la capacidad de detección.

 

Figure 7. Ensure action is set to ‘Block’ and state is set to ‘Enabled’ for the ‘Unconfirmed File Detected’ rule in the Execution Prevention policy(s).

 

Figure 8. Ensure action is set to ‘Block’ and state is set to ‘Enabled’ for the ‘Unconfirmed Executable – Executable File Failed Verification Test’ rule in the Exfiltration Prevention policy(s).

 

 

Figure 9. Ensure action is set to ‘Block’ and state is set to ‘Enabled’ for the ‘Unconfirmed Executable – Executable File Failed Verification Test’ rule in the Ransomware Prevention policy(s).

 

Figure 10. Change Execution, Exfiltration and Ransomware Prevention policies from ‘Simulation’ to ‘Prevention mode. This will ensure that enabled rules are enforced.

 

Más información

Puede encontrar un análisis más completo, las consultas relacionadas con FortiEDR Threat Hunting, la lista IOC, la lista TTP y las recomendaciones de mitigación para toda la intrusión de la que se tomaron estas muestras en el informe de análisis de incidentes ‘Nueva actividad posterior a la explotación de ProxyShell’ que se puede encontrar aquí: https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/incident-analysis/inc…

 

También puede encontrar una lista recopilada de otros artículos de análisis del equipo de respuesta de FortiGuard aquí:  https://www.fortinet.com/fortiguard/threat-and-incident-notifications  .

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *