Malwarek viselkedése – TTP minták
A Splunk különböző RAT és infostealer malware családokat elemzett és MITRE ATT&CK technikákat osztottak meg az eredmények alapján. A kutatás során mintegy 18 külön malware család – például Agent Tesla, AsyncRAT, PlugX, QuasarRAT, RedLine Stealer – viselkedését elemezték, és azonosították azokat a gyakori technikákat, amelyeket a támadók a kompromittált rendszereken alkalmaznak.
A leggyakoribb technikák közé tartozik a fájlok vagy payloadok letöltése (Ingress Tool Transfer, T1105), amely lehetővé teszi a malware-nek, hogy további modulokat vagy parancsokat szerezzen a C2 szerverről. Sok RAT rendszerinformációkat gyűjt (System Information Discovery, T1082), például operációs rendszer-, memória- vagy hálózati adatokat, amelyek segítik a támadót a kompromittált gép feltérképezésében és a további lépések megtervezésében. A kommunikáció gyakran webes protokollokon (T1071.001) történik, így a C2 forgalom HTTP/HTTPS-en keresztül mozog, ami nehezebben észlelhető hagyományos hálózati eszközökkel.
Gyakori a perzisztencia biztosítása (T1547.001), például olyan registry-bejegyzések vagy futtatási elemek létrehozásával, amelyekkel a RAT újraindítás után is aktív marad. A támadók parancs- és szkriptvezérlő eszközöket (T1056.001) használnak hidak vagy gyanús folyamatok létrehozásához, és adatkinyerés (Credential Access, T1555.003) céljából gyakran célzott böngésző- vagy hitelesítő adat-elemzést végeznek.
Míg a RAT-családok technika-szinten sok hasonlóságot mutatnak, a konkrét megvalósítások, a procedure szint, eltérhetnek, ezért a védekezésnél nem csak IOCs-k (indikátorok) alapján kell keresni, hanem technikák és viselkedések alapján is érdemes analizálni a fenyegetéseket, mivel ez szélesebb lefedettséget és robusztusabb detekciót ad egy SOC-ban vagy EDR/MDR környezetben.
A TTP-centrikus védelem, amely azonosítja és figyeli például a C2 kommunikációt, a rendszer felfedezésére irányuló kéréseket, vagy a perzisztencia-eltérítési mintákat, hatékonyabb riasztást és reagálást tesz lehetővé, mint a hagyományos, csak aláírás- vagy IOC-alapú megközelítés.
