Consulta técnica sobre FortiEDR
Descripción
El informe FortiGuard Global Threat Panorama Report publicado a principios de este año destacó un aumento de 10,7 veces en el volumen de ransomware detectado en los entornos de los clientes en 2020. Esto no es sorprendente dado que los proveedores de seguridad de todo el mundo detectan cientos de miles de nuevas variantes de malware todos los días. . La investigación destacó que el 74 % de las amenazas detectadas durante el primer trimestre de 2021 eran muestras de malware desconocidas o muestras sin firma conocida.
El equipo de Detección y Respuesta Administrada (MDR) de FortiGuard monitorea las redes de los clientes en todo el mundo a través de FortiEDR. Muchos de los eventos generados por FortiEDR están relacionados con el comportamiento asociado con algunas de estas muestras desconocidas. El propósito de este artículo es demostrar con muestras desconocidas tomadas del entorno de un cliente cómo FortiEDR ha empleado de manera efectiva el aprendizaje automático, el sandboxing en línea y las capacidades de detección de comportamiento para mitigar algunas de estas nuevas muestras, cómo puede usar FortiEDR para analizar el contexto de ‘No confirmado’. Alertas de ejecutables en su entorno y cómo configurar mejor FortiEDR para detectar esta actividad.
Las muestras analizadas en este artículo se eliminaron como parte de una intrusión más grande luego de un compromiso exitoso de un servidor de Microsoft Exchange 2016. El estado final de la intrusión es la ejecución de una variante personalizada del popular software de minería Monero (criptomoneda) XMRig. La aplicación XMRig en sí no es maliciosa, pero una parte de este ejecutable se configura manualmente para extraer criptomonedas en nombre de un actor malicioso. En el entorno de cliente de MDR afectado, esto resultó en un uso de CPU de hasta el 100 % en el punto final de destino y un rendimiento degradado para los usuarios finales normales mientras funcionaba.
Análisis de muestras desconocidas
Para comprender mejor el comportamiento detectado por FortiEDR, es útil ver cuáles son las dos muestras analizadas en este artículo. Los ejecutables ‘service_update.exe’ y ‘FileSyncConfig.exe’ son ejecutables .NET sin firmar con características muy similares (consulte la Figura 1). Las funciones principales de los ejecutables no están ofuscadas, pero ambos contienen cuatro recursos integrados; DATOS1, DATOS2, DLL1 y DLL2. Estos recursos se cifran con claves AES codificadas de forma rígida y métodos de descifrado internos idénticos que se ejecutan en los recursos integrados a medida que se ejecutan los archivos. Este tipo de diseño de software rara vez es benigno e indica un intento de mitigar la eficacia del análisis basado en firmas estáticas.
Figure 1. View of ‘FileSyncConfig.exe’ features in dnSpy. Note the embedded resources on the left hand panel and the way the DATA1 and DATA2 resources are decrypted and executed as part of the main method.
Es importante tener en cuenta aquí que en el momento de la detección, tanto los archivos analizados como los ejecutables integrados que contienen eran completamente desconocidos, es decir, los hash y los nombres de archivo no se marcaron como maliciosos entre las fuentes de inteligencia de amenazas de FortiGuard Labs o en Virus Total. Afortunadamente, los servicios en la nube de FortiEDR emplean un espacio aislado dinámico para ayudar a analizar archivos anómalos. Ambos archivos en el archivo leído fueron marcados por la ‘Política de prevención de ejecución’ de FortiEDR como un ‘Ejecutable no confirmado’. Esto se puede ver en los eventos 7 y 9 en la Figura 2 a continuación. Los ejecutables que se clasifican como no confirmados contienen campos adicionales que no utiliza el sistema operativo y que a menudo están presentes en el malware para complicar la ejecución y reducir la eficacia del análisis automatizado.
Análisis de eventos con FortiEDR
Este evento fue detectado originalmente por el equipo de respuesta de FortiGuard junto con una notificación al cliente sobre el alto uso de la CPU en algunos hosts dentro de su entorno. Mirando la pestaña de análisis forense, el gráfico de eventos muestra un árbol de proceso lineal estándar, como se muestra a continuación en la Figura 2.
Figure 2. Event graph associated with ‘Unconfirmed Executable’ events caused by the ‘service_update.exe’ and ‘FileSyncConfig.exe’ executables.
Figure 3. The ‘Retrieve’ function which is accessible from the Forensics tab can be used to pull memory from a collector which is useful to support analysis of file less malware.
Figure 4. Metadata fields of the ‘FileSyncConfig.exe’ executable have been populated with metadata to make the file appear more legitimate. The description for the actual FileSyncConfig file should be ‘Microsoft OneDrive Configuration Application’ and the product should be ‘Microsoft OneDrive’.
Volviendo a lo largo de la cadena de procesos, podemos ver que el ejecutable FileSyncConfig se llamó desde ‘schtasks.exe’ (evento 8 en la Figura 2). Este es un ejecutable firmado de Microsoft y es un binario que se usa para interactuar con las tareas programadas de Windows. Mirando la vista de pilas de FortiEDR, podemos ver los argumentos de la línea de comando utilizados para ejecutar el proceso. En este caso, se usó el comando ‘/Run /I /TN “MicrosoftWindowsSyncCenterSyncConfigTask”’. Una mirada rápida al archivo de ayuda del ejecutable schtasks identifica que este comando ejecutaría (/Run) inmediatamente (/I switch) la tarea ‘SyncConfigTask’ (/TN <nombre de la tarea>). La ruta a esa tarea programada (MicrosoftWindowsSyncCenter) es interesante ya que es una ruta de tareas predeterminada en Windows 10 que se crea para las tareas de Microsoft OneDrive. Esta es una demostración más de los intentos de hacerse pasar por una aplicación legítima.
Moviéndonos a lo largo de la cadena hasta el evento 7 en la Figura 2, podemos ver que un proceso ‘service_update.exe’ (el otro ejecutable no confirmado) inició el proceso schtasks discutido anteriormente. Más adelante, en el evento 6 podemos ver que un proceso svchost con la línea de comando ‘-k netsvcs -p -s Schedule’ generó el proceso ‘service_update.exe’. Esta línea de comando indica que esta actividad fue el resultado de una tarea programada dado que hace referencia al servicio ‘Programar’ después del interruptor ‘-s’, que es el servicio ‘Programador de tareas’ y la referencia al grupo de servicios ‘netsvcs’ que aloja este servicio de forma predeterminada.
Figure 5. Stacks view of event 6 from Figure 2 demonstrating svchost executing the ‘service_update.exe’ executable. Command line arguments indicate it is part of a scheduled task due to references to ‘Task Scheduler’ service.
Figure 6. Stacks view of event 5 from Figure 2 demonstrating svchost executing the previously analyzed (Figure 5) svchost hosting the ‘Task Scheduler’ service. This process references the ‘Group Policy Service’.
Configuración de FortiEDR para detectar y mitigar ejecutables no confirmados
En el caso de las muestras analizadas en este artículo, FortiEDR se configuró en modo ‘Simulación’. En el modo de simulación, los eventos que se detectaron y se mitigarían se notifican y las mitigaciones no se aplican. Esto significa que la actividad asociada con ‘FileSyncConfig.exe’ y ‘service_update.exe’ fue detectada pero no mitigada por FortiEDR. La Figura 7-10 a continuación muestra cómo las reglas correspondientes en las políticas de seguridad de Ejecución, Exfiltración y Ransomware deben tener su estado establecido en «Habilitado» y la acción establecida en «Bloquear» para garantizar que se puedan bloquear ejecutables anómalos como este. Hay razones legítimas muy limitadas para que un archivo benigno posea las características que desencadenan estas reglas, por lo que se recomienda habilitar las reglas ‘Ejecutable no confirmado’ y ‘Archivo no confirmado’ para maximizar la capacidad de detección.
Figure 7. Ensure action is set to ‘Block’ and state is set to ‘Enabled’ for the ‘Unconfirmed File Detected’ rule in the Execution Prevention policy(s).
Figure 8. Ensure action is set to ‘Block’ and state is set to ‘Enabled’ for the ‘Unconfirmed Executable – Executable File Failed Verification Test’ rule in the Exfiltration Prevention policy(s).
Figure 9. Ensure action is set to ‘Block’ and state is set to ‘Enabled’ for the ‘Unconfirmed Executable – Executable File Failed Verification Test’ rule in the Ransomware Prevention policy(s).
Figure 10. Change Execution, Exfiltration and Ransomware Prevention policies from ‘Simulation’ to ‘Prevention mode. This will ensure that enabled rules are enforced.
Más información
Puede encontrar un análisis más completo, las consultas relacionadas con FortiEDR Threat Hunting, la lista IOC, la lista TTP y las recomendaciones de mitigación para toda la intrusión de la que se tomaron estas muestras en el informe de análisis de incidentes ‘Nueva actividad posterior a la explotación de ProxyShell’ que se puede encontrar aquí: https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/incident-analysis/inc…
También puede encontrar una lista recopilada de otros artículos de análisis del equipo de respuesta de FortiGuard aquí: https://www.fortinet.com/fortiguard/threat-and-incident-notifications .
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!