Усовершенствования KUMA SIEM за 2 квартал 2024 года

[KL FC Bot]

В рамках регулярного исследования ландшафта угроз для России и СНГ наши эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Мы, в свою очередь, тщательно изучили наиболее часто используемые атакующими техники и оперативно доработали или добавили в нашу SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года мы дополнили и расширили логику для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых  злоумышленниками.

Как злоумышленники отключают или модифицируют локальный межсетевой экран

Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.

Распространены два способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:

• netsh firewall add allowedprogram
• netsh firewall set opmode mode=disable
• netsh advfirewall set currentprofile state off
• netsh advfirewall set allprofiles state off

Пример ветки реестра и значения, добавленного атакующими, разрешающего входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:

HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}

Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\

Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}

Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:

net stop mpssvc

Как наше SIEM-решение выявляет T1562.004

Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:

• остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений;
• отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода (конфигурирование или отключение межсетевого экрана через netsh.exe);
• изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений (изменение правил через реестр Windows);
• отключения злоумышленником локального межсетевого экрана через реестр;
• манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик

С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правила с непосредственно детектирующей логикой. Также мы доработали 20 старых правил путем исправления или корректировки условий.

 

View the full article