Consulta técnica sobre FortiEDR
Descripción
Este artículo describe FortiEDR ofrece visibilidad, análisis, protección y remediación en tiempo real para puntos finales . Reduce de manera proactiva la superficie de ataque del endpoint, previene la infección de malware, detecta y desactiva amenazas potenciales en tiempo real y puede automatizar los procedimientos de respuesta y remediación con playbooks personalizables. FortiEDR ayuda a las organizaciones a identificar y detener las infracciones en tiempo real de forma automática y eficiente, sin abrumar a los equipos de seguridad con una serie de falsas alarmas o interrumpir las operaciones comerciales.
El agente de endpoint de FortiEDR, llamado recopilador, monitorea el comportamiento en un endpoint identificando actividades anómalas, sospechosas y maliciosas. Al identificar dicha actividad, el recopilador FortiEDR bloquea el comportamiento en el punto final. Después de esta identificación, la telemetría clave relacionada con la actividad se envía a Fortinet Cloud Services (FCS) para su verificación y enriquecimiento. Como parte de este enriquecimiento, la telemetría del recopilador se analiza a través de Machine Learning, los ejecutables se analizan en numerosos espacios aislados en línea (incluido FortiSandbox) y los indicadores se enriquecen mediante integraciones con las fuentes de FortiGuard Threat Intelligence. Este artículo proporciona una descripción general de cómo estas funciones brindan protección contra la actividad posterior a la explotación, incluso la actividad vinculada a vulnerabilidades de día cero que pueden proporcionar acceso adversario a un punto final.
Las detecciones de comportamiento mitigan las amenazas desconocidas
Las detecciones de FortiEDR se basan en la detección de comportamientos anómalos en lugar de depender únicamente de indicadores maliciosos, como listas de firmas incorrectas conocidas (como un producto AV tradicional). Como resultado, ha demostrado consistentemente su capacidad para detectar comportamientos maliciosos posteriores a la explotación asociados con ataques recientes de «día cero» dirigidos a vulnerabilidades previamente desconocidas y es consistentemente eficaz para identificar muestras de malware nunca antes vistas.
Por ejemplo, para la conocida vulnerabilidad PrintNightmare (CVE-2021-34527), FortiEDR detectó y detuvo la ejecución del exploit bajo la regla ‘Exploit de escalada de privilegios detectado’. La figura 1 muestra este comportamiento tal como aparece en la siguiente detección a través de FortiEDR:
Figura 1. Evento detectado de escalada de privilegios de FortiEDR generado como resultado de la explotación detectada de PrintNightmare
Como otro ejemplo, FortiEDR detecta y bloquea el comportamiento asociado con la explotación de la vulnerabilidad ProxyShell de Microsoft Exchange. Esta explotación fue detectada y bloqueada de forma inmediata (OOTB). Esta capacidad protegió a los clientes de FortiEDR en todo el mundo y se usó en numerosos compromisos de respuesta a incidentes de FortiGuard Responder para ayudar con la contención y reparación de compromisos basados en ProxyShell. La Figura 2 a continuación muestra la detección del proceso w3wp.exe que intenta ejecutar un ejecutable malicioso (dll creado dinámicamente), este comportamiento está asociado con la actividad posterior a la explotación de ProxyShell.
Figura 2. FortiEDR detectó y bloqueó un intento de ejecución de un dll (webshell) creado como parte de la explotación de ProxyShell
Otro ejemplo que se muestra a continuación demuestra cómo las detecciones basadas en el comportamiento de FortiEDR permiten la detección del kit de explotación BottleEK. BottleEK redirige a los usuarios a una página de destino a través de un sitio web de publicidad maliciosa. Luego ejecuta el código javascript para verificar si el entorno del usuario es japonés, el navegador es Internet Explorer y la versión es vulnerable. FortiEDR bloquea la ejecución de ajax.min.js, que ejecuta el código javascript inicial. En el gráfico de eventos a continuación, iexplore.exe genera wscript.exe para ejecutar ajax.min.js que FortiEDR bloquea como ‘Ejecución de secuencia de comandos sospechosa’.
Figura 3. Ejecución de secuencia de comandos sospechosa detectada y bloqueada durante un intento de explotación de BottleEK
FCS Clasificación de aprendizaje automático
FortiEDR utiliza un motor antivirus de aprendizaje automático para detener la ejecución previa de malware. Esta capacidad NGAV configurable entre sistemas operativos viene integrada en el agente único y liviano, lo que permite a los usuarios asignar protección antimalware a cualquier grupo de puntos finales sin necesidad de una instalación adicional.
Los componentes de aprendizaje automático que forman parte de Fortinet Cloud Services (FCS) pueden identificar y marcar los ejecutables desconocidos identificados por los recopiladores como maliciosos o como PUP (Programa potencialmente no deseado) en función de las funciones que contienen. Un ejemplo de esta clasificación para un archivo desconocido se puede ver en la Figura 4 a continuación, que muestra la detección positiva de un ejecutable POC CVE-2021-41379 modificado. Esta clasificación como PUP habría impedido que la muestra se ejecutara y accediera efectivamente a las credenciales si FortiEDR estuviera en modo de protección.
Figura 4. Sección «Análisis automatizado» de un evento de FortiEDR relacionado con la detección de un POC CVE-2021-41379 que muestra la clasificación de archivos mediante el aprendizaje automático de FCS.
Los datos del análisis automatizado de FCS se muestran a través de la interfaz de FortiEDR y describen por qué el archivo se marcó inicialmente como PUP y luego como malicioso. Este archivo es un POC para CVE-2021-41379.
Para demostrar cómo FortiEDR también detecta archivos con un hash desconocido, se agregaron y volvieron a ejecutar algunos caracteres aleatorios a un archivo de muestra de HermeticWiper. En esta detección de que el hash ha cambiado y no coincide con una firma conocida. Independientemente de esto, FortiEDR aún marca este archivo como sospechoso, ya que el motor de aprendizaje automático de Fortinet Cloud Services evalúa que tiene una alta probabilidad de ser malicioso. Esto permite que FortiEDR detecte nuevas versiones de variantes de malware sin firmas conocidas para una muestra de malware desconocida. Esta evaluación se puede ver a continuación en la Figura 5.
Figura 5. FortiEDR detectando una versión de HermeticWiper con un hash de archivo desconocido. FortiEDR identificó el archivo como sospechoso y esta evaluación luego se valida a través del análisis de sandbox y ML.
En otro caso, un binario .NET se identificó como malicioso a pesar de ser desconocido, es decir, los hash y los nombres de archivo no se marcaron como maliciosos entre las fuentes de inteligencia de amenazas de FortiGuard Labs o en VirusTotal. En este caso, los archivos se evaluaron como maliciosos en la lectura del archivo y la ‘Política de prevención de ejecución’ de FortiEDR los marcó como ‘Ejecutable no confirmado’. Esto se puede ver en los eventos 7 y 9 en la Figura 6 a continuación. Los ejecutables clasificados como no confirmados contienen campos adicionales que no utiliza el sistema operativo y que a menudo están presentes en el malware para complicar la ejecución y reducir la eficacia del análisis automatizado.
Figura 6. Gráfico de eventos asociado con eventos ‘Ejecutable no confirmado’ relacionados con un ejecutable desconocido pero malicioso.
Detección de zona de pruebas
Además de la clasificación de aprendizaje automático de FCS, los archivos ejecutables desconocidos se ejecutan automáticamente en el FortiSandbox integrado de FCS. Para el ejemplo que se muestra a continuación en la Figura 7, se completa el análisis de la zona de pruebas de FCS y la muestra se identificó correctamente como explotadora de CVE-2021-41379 y se reclasificó como maliciosa. La reclasificación se puede observar en la parte superior izquierda de la Figura 4, y la identificación correcta se puede observar en la Figura 7 a continuación, que muestra la evaluación del entorno de pruebas FCS de la muestra. Esta reclasificación habría activado cualquier libro de jugadas configurado en un entorno FortiEDR para actuar en un evento de archivo malicioso, lo que podría provocar que el archivo se pusiera en cuarentena, se aislara el punto final afectado o se eliminara el archivo. Esto permite al usuario final automatizar la limpieza de archivos maliciosos como este.
Figura 7. La clasificación de sandbox de FCS identificó y clasificó correctamente los indicadores del exploit CVE-2021-41379.
Publicar explotación
Si un exploit puede ejecutarse en un sistema protegido, la detección avanzada en tiempo real de FortiEDR también puede identificar cargas útiles maliciosas que los procesos del sistema cargan dinámicamente. Por ejemplo, en un POC para la vulnerabilidad PrintNightmare (CVE-2021-34527), el exploit carga un archivo dll malicioso en el servicio de cola. Como se muestra en la Figura 8 a continuación, FortiEDR detecta la carga de un archivo malicioso y bloquea la ejecución del dll, protegiendo así el punto final de tal explotación.
Figura 8. Carga de dll maliciosa detectada asociada con la explotación de la vulnerabilidad PrintNightmare.
Veamos un ejemplo más relacionado con la explotación de una vulnerabilidad del editor de ecuaciones de Microsoft (CVE-2017-11882). La detección avanzada en tiempo real de FortiEDR identifica cuando se abre el documento .rtf malicioso, la vulnerabilidad CVE-2017-11882 se explota para descargar una carga útil maliciosa del proceso de Internet Explorer. Esta actividad posterior a la explotación es detectada y bloqueada por FortiEDR como se muestra en la Figura 9 a continuación.
Figura 9. FortiEDR detecta y bloquea la carga útil maliciosa inyectada en un proceso iexplore.exe luego de la explotación exitosa de CVE-2017-11882.
Prevención de exfiltración
Incluso en los casos en los que algún malware/exploit/código malicioso puede ejecutarse en un entorno protegido, el recopilador de FortiEDR bloquea los eventos en los que el malware intenta robar credenciales o filtrar información crítica. Hay varias reglas en la política de prevención de exfiltración que se activan en tales escenarios. Por ejemplo, en el caso del ataque del ransomware Darkside, el ejecutable del ransomware intenta acceder al material de credenciales almacenado en la memoria del proceso del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS). Esta acción está bloqueada por la regla de «Acceso a información crítica del sistema» de FortiEDR bajo la política de Prevención de exfiltración como se muestra en los eventos que se ven en la Figura 10 a continuación.
Figura 10. Acceso a las credenciales por parte del ransomware DarkSide bloqueado por FortiEDR
En otro ejemplo, FortiEDR detecta y bloquea el comportamiento de comando y control asociado con la ejecución de un implante Qakbot. El ejemplo se muestra a continuación en la Figura 11 y describe los eventos de FortiEDR relacionados con el bloqueo de la filtración de datos recopilados por la muestra de Qakbot en la infección de un punto final objetivo. El ejecutable de Qakbot intenta conectarse a sus servidores C2 para filtrar los datos de descubrimiento y solicitar actualizaciones de malware/instrucciones de comando. Pero cuando Qakbot intenta conectarse a sus servidores C2, FortiEDR detecta y bloquea estos intentos.
Figura 11. FortiEDR detecta intentos de conexión C2 para bloquear la exfiltración.
Conclusión
Como se describe en este artículo, las reglas de detecciones basadas en el comportamiento y el aprendizaje automático de FortiEDR bloquean y detectan tanto los ejecutables desconocidos como los comportamientos sospechosos. Esto permite que FortiEDR brinde protección efectiva contra una actividad posterior a la explotación, incluso si la actividad se lleva a cabo como resultado de la explotación de vulnerabilidades de día cero. Este enfoque para defender los puntos finales ha protegido a los clientes de FortiEDR de la explotación posterior asociada con Kaseya zero-days, ProxyLogon, ProxyShell, log4shell, PrintNightmare y muchos otros sin modificar el recopilador de FortiEDR y continuará deteniendo ataques futuros.
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!