gam4er Jan 27 2022 at 16:55

Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить

16 min

6.2K

«Лаборатория Касперского» corporate blogInformation Security*Programming*C#*

Technotext 2022

+13

Comments 8

AlexeyK77 Jan 27 2022 at 17:21

Посоветуйте ресурсы для базового становления Blue Team команд, но не таких крутых как написнао в статье (когда уже все сделано и мониторинг опустился до уровня почти дебага процессов на ендполинте).

Вопрос: если включить этот мониторинг, какой по вашему опыту будет уровень false positive? Просто в винде одна беда - штатная работа сама по себе очень шумная что с точки зрения сетевой активности, что сточки зрения процессов и прочих системных событий. И еще один генератор шума скорее всего ясности не прибавит.

Заранее спасибо.

gam4er Jan 27 2022 at 17:58

Я выражу сейчас своё личное мнение: чтобы создать команду нужно прежде всего что-то что-то софтскиловое. Если вы хотите команду, то там должны быть процессы, команда должна работать как команда, если 24/7, то тоже надо особенно организоваться...

Если вопрос именно технологического стека, то сейчас разразится холиварищще, но для небольших команд рекомендуют ELK + Filebeat. Собственно я при написании пользовался для демонмтрации SilkETW и данные подавал в облако Elastic. Очень удобно.

Я выскажу непопулярную мысль, но для некоего идеального Threat Intel SOC в вакууме уровень ложных срабатываний (фолсы) должен быть постоянно высоким: есть два процесса и они как-бы в равновесии

SOC строит гипотезы, потребляет всё больше данных, подключает новые источники, улучшает покрытие и как следствие генерирует больше алертов для расследования
SOC изучает процессы и потоки данных в компании, понимает типичные кейсы расследует фолсу и как следствие фильтрует алерты

А вообще я не могу дать никакой оценки не ознакомившись с предметной обастью конкретного заказчика

lostpassword Jan 27 2022 at 18:05

aegoroff Jan 28 2022 at 08:28

Отличная статья! Хотелось бы еще узнать как обстоят дела с .NET 5 и 6 где уже нет доменов приложений https://docs.microsoft.com/en-us/dotnet/core/porting/net-framework-tech-unavailable

Как там все работает?

gam4er Jan 28 2022 at 11:45

О, это вообще отдельная тема. Дело даже не в доменах приложения: существует возможноcсть создать Native Code приложение сразу. А значит никакой JIT компилляции (кототрая на самом деле через ETW может многое рассказать вашему EDR/AV о том что готовится к запуску на мониторящемся устройстве). +SingleFile компилляция, которая в теории позволит запустить ваше приложение даже на неподготовленной системе (без среды CLR). Это с одной стороны делает "старшие" версии .NET как-бы даже более привлекательными для разработчиков оффенсив утиллит.

Но как бы то ни было, по прежнему существуют методы, которые позволят искать артефакты от переиспользуемых утиллит в памяти приложений. По прежнему существует как ETW, так и новый способ: пайп событий.

aegoroff Jan 28 2022 at 11:49

Спасибо за информацию - очень полезно!

vmu Jan 28 2022 at 17:25

Статья очень интересная, спасибо. Остался один вопрос: что такое SOC? Я знаю только System On Chip, но это явно не оно.

gam4er Jan 28 2022 at 17:28

Кстати да, в Информационной безопасности SOC - это Центр мониторинга информационной безопасности. Кто-то даже понимает/реализует шире (включая сюда специалисотв по реагированию и расследованию инцидентов) и вообще саму службу ИБ