Рекомендации для технических специалистов по проактивному поиску угроз

Какие цели преследует специалист по Threat Hunting и какие способы стоит использовать ИБ-специалистам компаний для более быстрого поиска угроз, рассказываем в материале.

Работы по поиску угроз (threat hunting) необходимо проводить для выявления как недетектируемого антивирусами вредоносного программного обеспечения (например, когда антивирусную или поведенческую сигнатуру еще не выпустили), так и для выявления активностей злоумышленников, выполняемых штатными средствами операционной системы или с помощью легитимных, но потенциально опасных программ (например, утилит удаленного управления), а также для выявления злоупотреблений и ошибок собственных сотрудников, создающих угрозы информационной безопасности.

Для недопущения инцидентов рекомендуем выполнять следующие действия:

1. Отслеживать события, связанные с созданием подозрительных директорий и файлов. Также запуск процессов rundll32.exe или regsvr32.exe с помощью winword.exe/excel.exe.
2. Выявлять подозрительные запуски cscript.exe / wscript.exe, особенно те, которые связаны с сетевой активностью.
3. Выявлять процессы powershell.exe с подозрительными или обфусцированными (замаскированными) командными строками.
4. Анализировать исполняемые файлы и скрипты, помещенные в папку автозагрузки, добавленные в ключи Run или запускаемые с помощью планировщика задач.
5. Отслеживать выполнение sdbinst.exe на предмет подозрительных аргументов командной строки.
6. Проверять создание новых ключей в разделе HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options.
7. Настраивать политику вашей системы защиты для выявления запросов, характерных для средств дампинга учетных данных, таких как Mimikatz.
8. Выполнять поиск артефактов, характерных для инструментов сетевой разведки, таких как аргументы командной строки AdFind.
9. Выявлять артефакты, связанные с выполнением файлов из необычных мест, таких как C:\ProgramData, %TEMP% или %AppData%.
10. Выявлять модификации реестра и брандмауэра Windows, связанные с подключениями по RDP.
11. Отслеживать и анализировать соединения по RDP, чтобы выявлять попытки продвижения по сети.
12. Выявлять запуски wmic.exe с использованием подозрительных запросов.
13. Отслеживать аномальное поведение bitsadmin.exe, особенно связанное с загрузкой потенциально вредоносных файлов.
14. Убедиться, что ваши системы умеют выявлять полезные нагрузки Cobalt Strike Beacon и подобных им инструментов, характерных для пост-эксплуатационных фреймворков (как минимум те, которые запускаются с типичными аргументами командной строки и из типичных мест).
15. Отслеживать события создания новых служб, связанных с PsExec, SMBExec и другими средствами двойного назначения или инструментами тестирования на проникновение (пентест).
16. Отслеживать исполняемые файлы, замаскированные под общие системные файлы (такие как svchost.exe), но имеющие аномальные родительские файлы или местоположение.
17. Отслеживать признаки несанкционированного использования инструментов удаленного доступа в вашей сети.
18. Отслеживать события установки клиентов облачных хранилищ и события доступа к облачным хранилищам, и проверяйте, являются ли они легитимными.
19. Отслеживать распространенные FTP-программы на конечных хостах для выявления событий установки файлов с вредоносными конфигурациями.
20. Отслеживать трафик DNS, разновидности программ-вымогателей (ВПО) требуют связи с сервером или C&C, вредоносное соединение может маскироваться как обычное соединение сливая с общим трафиком по протоколу HTTP.

Ранее мы рассказывали, какие меры принимаются для защиты данных казахстанских компаний.