Észrevétlen tartós jelenlét Windows rendszereken
A Praetorian olyan technikákat mutatnak be, amelyekkel a támadók rejtve maradhatnak Windows-rendszereken, kihasználva elavult vagy ritkán használt Windows belső eszközöket. A tapasztaltabb aktorok többször nem a jól ismert, modern technikákat alkalmazzák, hanem mélyebb, kevésbé dokumentált Windows-belső elemeket, például services.exe konfigurációs hibákat, Windows Image hijack-elést, COM- és WMI-alapú automatizmusokat, vagy olyan korábban elfeledett, de még mindig működő rendszerösszetevőket, amelyek a folyamatok automatikus újraindítására vagy háttérfeladatokra alkalmasak.
Ezeket a módszereket a támadók gyakran kombinálják ütemezett feladatokkal és titkosított modulokkal, így a rosszindulatú komponensek újra betöltődnek rendszerindításkor vagy inkább felügyelt módon, ha a rendszer másképp viselkedik.
Az olyan modern védekezési eszközök, amelyek csak a mainstream vagy jól ismert tartóssági mechanizmusokat keresik, könnyen átláthatóvá válhatnak az olyan technikákkal szemben, amelyek mély Windows-belső API-kon vagy ritkán vizsgált futtatási útvonalakon futnak. A szakértők ezt úgy írják le, hogy a támadók a Windows internals-t használják a tartós jelenlét biztosítására, és ezt kombinálják dinamikus kód betöltéssel, ID-összekapcsolással és konfigurált szolgáltatásokkal, amelyeket a hagyományos EDR- vagy AV-eszközök vagy néma eseményként, vagy hibaként értelmezhetnek.
A gyakorlatban ez azt jelenti, hogy a támadók képesek hosszabb ideig maradni egy fertőzött környezetben, még akkor is, ha a felszíni jelek eltűnnek vagy a rendszergazdák elvégezték az alapvető tisztítási műveleteket. A Praetorian példákon keresztül mutatja be, hogyan lehet Windows-szolgáltatások hibás konfigurációit, WMI eseményeket vagy COM-automatizációt felhasználni arra, hogy egy rosszindulatú modul titokban újraaktiválja magát, így az elemzők és védelmi termékek számára nehezebb észlelni vagy eltávolítani azt.
A mélyebb operációs rendszer-ismeret és a Windows-belső mechanizmusok vizsgálata kulcsfontosságú a tartós jelenlét elleni védekezésben, és hogy a szervezeteknek nem szabad kizárólag a általános technikákra hagyatkozniuk a detekció és incidenskezelés során. A Praetorian jelentése jó gyakorlati útmutatóként is szolgálarra, hogyan lehet felismerni ezeket a kényesebb, rétegelt tartóssági módszereket az esemény- és viselkedéselemzésben.
