att&ck 技术项编号为 t1036 的二进制重命名技术正被越来越多的恶意软件所采用,本文将介绍如何通过多种方法对该技术进行监控与检测。
背景二进制重命名是一种用于逃避检测的技术,通过更改进程名和路径来绕过基于这些特征的检测方案。这项技术是 MITRE ATT&CK 框架中 T1036 Masquerading 技术的一个子类,广泛应用于攻击生命周期的各个阶段,无论是商业恶意软件开发者还是高级持续性威胁(APT)组织都普遍使用。例如,NotPetya 通过重命名 psexec 程序实现了自动化、破坏性的横向感染。
通过检查已执行进程的二进制程序属性,并对比预期外进程的名称与路径,可以发现这种威胁。这是在对抗基于 JavaScript 的垃圾软件时总结的方法,它们利用渗透工具、横向移动与 APT 级的检测逃避。
在攻击生命周期的早期阶段,攻击者通常会寻找立足点,并将受监控的二进制程序拷贝到不显眼的路径中。在交互式攻击或攻击生命周期的后期,攻击者往往需要利用自己的黑客工具或管理工具,而非本地环境中的程序,这些工具看似“合法”。了解所使用的二进制程序的类型,例如 PE 文件的属性,可以与许多检测的锚点相关,方便后续搜索。
考虑到并不是所有团队都具备功能强大的 EDR 能力,可以实现大规模的二进制程序属性的可见性。因此,我希望创建一个开源的解决方案来解决这个问题。
解决方案在没有完善的日志记录 / EDR 的情况下,WMI 事件可以为我们提供可见性。WMI 事件订阅通过触发器(EventFilter)和处理器(EventConsumer)来处理某些系统事件。WMI 事件几乎可以对所有操作系统事件进行操作,例如:登录事件、进程活动、注册表或者文件更改情况。
WMI 提供的能力可以认为是 EDR 用户空间事件跟踪的有限子集,但无需安装服务或程序。WMI 事件并不是新鲜事物,早在 2016 年 Fireeye 就讨论了 WMI 作为端点入侵检测系统的可行性。我此前已经构建了基于 WMI 事件的解决方案用于应急响应事件中,弥补可见性的差距。WMI 与 WMI 事件的完整描述超出了本文讨论的范围,若要详细了解更多的知识可以查看扩展阅读。
ActiveScript 事件处理器可以通过功能强大的 Windows Scripting Host 为 WMI 事件触发器添加、丰富事件处理逻辑。在此示例中,利用实时“外部” WMI 事件触发器进行进程执行监控,从所有执行的进程中收集进程 ID。Win32_Process 的查询可以进一步提供有关进程的元数据,收集 PE 属性便于检测。此示例中使用的 PE 属性是原始名称,查询高优先级原始名称列表并检测报警。
在条件匹配时,示例程序支持写入应用程序事件日志。事件 ID 为 4,包含相关告警的详细信息。出于性能考虑,进程路径和原始名称都实时记录在告警中,并没有进行哈希计算。
类似的也可以输出到日志中。值得注意的是,可以方便地修改示例程序中关于写入日志文件、事件记录函数与函数调用的部分。
使用 WMI 事件作为事件来源的一个局限是通常不能得到成熟的检测用例需要的所有数据。为了丰富数据,需要查询 Win32_Process 类。获取进程元数据会存在一些延迟,因此非常短暂的进程(几分之一秒)可能会存在获取不到的情况。在我自己的测试中,非常短暂的命令(如重命名命令
cdm /c echo)无法生成 WMI 数据,在本地 ping 事件记录中稍有延迟。对于下载、访问 Shell、或者其他常见的交互式命令没有见到问题,但请记住这个局限。
第二个局限是性能,虽然我自己构建的测试中没有资源密集的用例,但生产中可能存在其他限制。我过滤了进程事件,但希望你在部署的时候进行针对性的测试。考虑到性能,程序属性匹配用例尽可能地保持简单,这意味着准确度的降低。但是由于逻辑尽可能的简单,修改、添加功能是很容易的。
另外,在某些环境中,某些目标的原始名称可能存在合法的二进制重命名行为。列出的程序列表可能需要对匹配逻辑进行一些调整来兼容不同的主机环境。
最后,众所周知,WMI 事件处理器是难以管理的。我提供了一个带有卸载说明的 Powershell 安装脚本,支持 Powershell 2.0 及以上。
关于项目这是一个有趣的开源项目,当我发现 vbscript 具有查询 PE 属性的功能时,希望其他人也可以更好地利用这个功能。
示例程序的模板可以在这里找到 WMIEvent-BinaryRename.ps1。
Yara 检测 Yara 是一个主要用于恶意软件检测的模式匹配工具。基于字符串或者二进制模式的规则,利用布尔、计数或者正则表达式之类的匹配逻辑。虽然传统上仍然是基于模式的匹配,但是 Yara 是模块化、可扩展的。例如 PE 模块可用于查询常见的二进制程序属性,PE 模块可以支持创建针对 PE 文件格式和文件头的规则,提供了为 PE 文件编写更有效规则的函数。如正在使用的
pe.versioninfo的 InternalName 属性:
我们的 Yara 规则很有趣,因为我们需要将预期的文件名与实际的文件名进行比较,但比较文件名并不是 Yara 设计的本意。Florian Roth 在 2014 年写了一篇关于“inverse”技术的文章,文中阐述了如何利用 Powershell 脚本获得所有需要扫描的文件,并将每个文件名作为外部变量传递给 Yara 进行扫描。为每个文件都创建一个新的 Yara 实例,传入相关的文件名以进行比较。在下面的代码中,扩展了该用例代码支持 32 位与 64 位机器。
为了保证正确执行,执行路径下必须存在下列文件:
inverseYara.ps1
x86 或 x64 的 Yara 程序
rename.yar
通过 bat 脚本或命令执行如下:
从检测的角度看,这种技术非常有效,但在我的测试中,由于为每个文件都要生成新的 Yara 进程,性能开销导致效率并不理想。值得注意的是,Yara 扫描可以针对没有文件名匹配时聚焦于域内文件的意外位置,但这并不符合二进制重命名的需要。
Powershell 检测在这种情况下,首选的方式变成了 Powershell。Windows API 通过 FileVersionInfo 类提供了对 PE 属性的访问,并且支持 Powershell 2.0 /.NET 2。输出那些可以辅助分析的额外选项可以显著提升速度并优化逻辑。在下面的脚本输出中,可以看到输出中已经添加了 SHA1 哈希。
任何静态检测能力的最大局限就是请求整块磁盘的性能。利用 Powershell 与本地 Windows API 可以显著优化性能,其他优化措施是将 CPU 优先级设置为仅空闲,并仔细设计逻辑有效过滤,以最小化占用资源。作为目标检测的一部分,围绕性能的其他优化也可以是针对特定感兴趣的位置的查询。
要记住使用 Powershell 方法利用 Windows API。尽管不在磁盘中的二进制重命名并不是一个很大的问题,但如果像 Rookit 一样,则首选 Raw Collection。
最后希望这篇文章能够对你有所帮助,如果你有任何反馈、问题与改进措施,请随时与我们进行联系。Yara 检测与 Powershell 检测的代码可以在 Get-BinaryRename 找到。
*参考来源:Mgreen27-BinaryRename-1 与 Mgreen27-BinaryRename-2,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM
