كيفية استخدام McAfee ATP للحماية من Emotet وLemonDuck وPowerMiner

المقدمة

تصف هذه المدونة كيفية استخدام قواعد McAfee ATP (الحماية من التهديدات التكيفية) في منتجات McAfee Endpoint Security. سيساعدك هذا على فهم كيفية عمل قواعد ATP وكيف يمكنك الاستفادة منها لمنع العدوى من عائلات البرامج الضارة السائدة مثل Emotet و LemonDuck و PowerMiner. يرجى قراءة قسم التوصيات للاستفادة الفعالة من القواعد في بيئتك.

قواعد ATP هي شكل من أشكال تقنية تقليل Attack Surface التي تكتشف الاستخدام المشبوه لميزات وتطبيقات نظام التشغيل. تستهدف هذه القواعد السلوكيات التي غالبًا ما يسيء مؤلفو البرامج الضارة استخدامها. يمكن أن تكون هناك حالات تستخدم فيها التطبيقات المشروعة نفس السلوك ، ومن ثم يلزم تكوين القواعد بناءً على البيئة.

اكتشفت قواعد ATP داخل McAfee Endpoint Security (ENS) 10.5.3 وما فوق بالفعل أكثر من مليون قطعة من البرامج الضارة منذ بداية عام 2020. ستوضح لك هذه المدونة كيفية تمكين قواعد ATP وتشرح سبب وجوب تمكينها من خلال تمييز بعض من البرامج الضارة التي نكتشفها معهم. سنوضح لك أيضًا كيفية تعظيم إمكانات الكشف عن طريق تعديل بعض الإعدادات المحددة.

أولاً ، لنبدأ بنظرة عامة. نصدر قواعد ATP في ثلاثة أنواع: التقييم و DefaultOn و HighOn.

تقييم يتم اختبار القواعد في الميدان بواسطة McAfee لتحديد ما إذا كانت قوية بما يكفي لاكتشاف النشاط الضار مع عدم تقديم نتائج إيجابية خاطئة. بمجرد أن تكون القاعدة في وضع التقييم لفترة من الوقت ، سيقوم باحثو McAfee بتحليل أدائها وإما إجراء تعديلات أو ترقيتها إلى DefaultOn أو HighOn. يمكن لعملاء ENS ATP المتصلين بـ McAfee ePolicy Orchestrator (ePO) تغيير قواعد التقييم يدويًا إلى الوضع الممكّن.

افتراضي في يتم إنشاء القواعد عندما يكون لدى McAfee ثقة عالية بعدم تأثر أي تطبيقات شرعية. يتم بعد ذلك تمكين هذه القواعد افتراضيًا في جميع مجموعات قواعد McAfee Endpoint Security.

عاليا تكتشف القواعد السلوك المعروف بأنه ضار ولكن قد يتداخل مع بعض التطبيقات غير الضارة. تم تعيين هذه القواعد على وضع المراقبة للأنظمة في مجموعة القواعد “متوازن” ، لكنها تعمل بمثابة DefaultOn للأنظمة في مجموعة قاعدة “الأمان”. لاحقًا في هذه المدونة ، نغطي كيفية تغيير مجموعة القواعد في منتجات Endpoint Security لتمكين قواعد HighOn.

كيفية تمكين قواعد ATP في ENS 10.5.3 وما فوق

بشكل افتراضي ، يتم تعيين العديد من قواعد ATP على وضع المراقبة. لتمكين هذه القواعد في وضع الحظر النشط ، قم بتسجيل الدخول إلى وحدة تحكم ePO وانتقل إلى القائمة-> التكوين-> إعدادات الخادم.

الشكل 1. القواعد في مجموعة القواعد المتوازنة.

تحديد الحماية من التهديدات التكيفية وحدد مجموعة القواعد المطلوبة (إنتاجية، متوازنأو الأمان).

كما هو موضح في الشكل 1 ، تكون القاعدة 329 في وضع المراقبة في مجموعة القاعدة المتوازنة ، وفي الشكل 2 أدناه ، يمكنك أن ترى أنها ممكّنة افتراضيًا في مجموعة قواعد الأمان.

ملاحظة: كما ذكرنا سابقًا ، نقوم بتحليل القواعد من وقت لآخر وإجراء تعديلات حتى يكون لديك إعدادات مختلفة في بيئتك ، اعتمادًا على إصدار المحتوى.

الشكل 2. القواعد في مجموعة قواعد الأمان.

لتمكين القاعدة ، انقر فوق تحرير أسفل القواعد وحدد القاعدة التي ترغب في تغييرها ، ثم حدد الحالة المطلوبة – معطل أو ممكّن أو لاحظ. يوضح الشكل 3. كيف يمكننا تغيير حالة القاعدة 256 التي تساعد في اكتشاف برامج تنزيل Emotet و Trickbot.

الشكل 3. تغيير حالة القاعدة.

انقر فوق حفظ ويجب تمكين القاعدة على العملاء في غضون بضع دقائق. هنا ترى أن القاعدة 256 تحظر الملف الضار JTI / Suspect.131328 افتراضيًا.

الشكل 4. تقييم حظر القاعدة بعد التمكين.

قم بتغيير مجموعة القواعد المعينة لاستخدام قواعد HighOn في ENS 10.5.3 وما فوق

في هذا القسم ، سنتعرف على كيفية تغيير مجموعة القواعد إلى “الأمان” والتي ستمكّن جميع قواعد HighOn في وضع الحظر افتراضيًا. نوصي بالتحقق من السجلات لمعرفة ما إذا كانت قواعد HighOn قد اكتشفت نشاطًا نظيفًا داخل بيئاتك قبل التغيير إلى مجموعة القواعد هذه.

لتغيير مجموعة القواعد ، قم بتسجيل الدخول إلى وحدة تحكم ePO وانتقل إلى القائمة-> الأنظمة-> شجرة النظام

الشكل 5. اختيار مجموعة الأنظمة لتعديل سياسات ENS.

حدد مجموعة وانتقل إلى علامة التبويب السياسات المخصصة. حدد “الحماية من التهديدات التكيفية لأمن نقطة النهاية” من القائمة المنسدلة للمنتج.

الشكل 6. تحديد السياسات لتعديل مجموعة القواعد المعينة.

انقر فوق سياسة “افتراضي” ضمن فئة “خيارات”.

الشكل 7. تغيير مجموعة القاعدة إلى الأمان.

قم بالتمرير لأسفل إلى Rule Assignment. من القائمة المنسدلة “تعيين القاعدة” ، حدد الأمان وانقر فوق حفظ. سيؤدي هذا إلى تحديث جميع العملاء بسياسة “My Default” لمجموعة قواعد الأمان.

تفعيل قواعد HighOn في MVISION Endpoint

لتمكين قواعد HighOn ، يجب تعيين نهج MVISION Endpoint على “حماية عالية” إذا لم يتم تعيينه افتراضيًا بالفعل. اتبع هذه الخطوات:

قم بتسجيل الدخول إلى وحدة تحكم ePO وانتقل إلى القائمة-> الأنظمة-> شجرة النظام

الشكل 8. تحديد مجموعة الأنظمة لتعديل السياسات لنقطة نهاية MVISION

حدد مجموعة وانتقل إلى علامة التبويب السياسات المخصصة. حدد “نقطة نهاية MVISION” من القائمة المنسدلة للمنتج.

الشكل 9. تحديد السياسات لتغيير وضع الحماية.

انقر فوق “تحرير الواجب” ضمن فئة عامة.

الشكل 10. تغيير نقطة نهاية MVISION إلى حماية عالية.

غيّر “توارث من” إلى “كسر الوراثة وتعيين السياسة والإعدادات أدناه”. أيضًا ، قم بتغيير “السياسة المخصصة” إلى “الحماية العالية” من القائمة المنسدلة وانقر فوق “حفظ”. سيؤدي هذا إلى تمكين جميع قواعد HighOn.

قواعد ATP في البرية

يسلط هذا القسم الضوء على ثلاثة تهديدات منتشرة تكتشفها قواعد ATP. نبرز قاعدة واحدة لكل DefaultOn / HighOn / Evaluate لإظهار أهمية مراقبة تحديثات القواعد وتمكين قواعد أكثر صرامة إذا كانت مناسبة لبيئتك.

PowerMiner (مثال على DefaultOn)

برنامج PowerMiner الضار هو برنامج ضار للعملات المشفرة منتشر منذ عام 2019. لقد ناقشنا هذه البرامج الضارة من قبل في مدونة سابقة على كشف AMSI. الغرض من برنامج PowerMiner هو إصابة أكبر عدد ممكن من الأجهزة لتعدين عملة Monero. يكون ناقل العدوى الأولي عبر رسائل البريد الإلكتروني المخادعة التي تحتوي على ملف دفعي. بمجرد التشغيل ، سيقوم هذا الملف الدفعي بتنفيذ برنامج نصي خبيث من PowerShell والذي سيبدأ بعد ذلك عملية الإصابة.

ATP DefaultOn Rule 263 “الكشف عن عمليات الوصول إلى عناوين URL المشبوهة” والقاعدة 262 “تحديد تنفيذ معلمة الأوامر المشبوهة لتعيينات مجموعة قواعد الأمان” تحظر هذا التهديد بمجرد تنفيذ PowerShell بواسطة Dropper.bat ومحاولة تنزيل ملف PS1 الضار.

يظهر ذلك من خلال الصليب الأحمر في مخطط التدفق أعلاه. كما هو مذكور في مدونة AMSI ، تتم تغطية هذا التهديد أيضًا من خلال توقيعات AMSI الخاصة بنا ، ولكن كما نفعل مع العديد من التهديدات ، لدينا أشكال مختلفة من الكشف في حالة قيام مؤلفي البرامج الضارة بتعديل كودهم لمحاولة تجاوز أحدها.

تُظهر خريطة IP أدناه عمليات الكشف عن هذا التهديد بين أكتوبر 2019 ويناير 2020 بواسطة قواعد ATP المذكورة أعلاه.

بطة الليمون (مثال HighOn)

LemonDuck ، مثل PowerMiner ، هو برنامج ضار لتعدين العملات المعدنية. ينتشر عبر طرق مختلفة مثل استغلال الازرق الخالد و Mimikatz. بمجرد إصابة الجهاز ، سينشئ LemonDuck العديد من المهام المجدولة لتنزيل المكونات المختلفة التي تتضمن وظيفة تعدين العملات. يوضح الرسم البياني أدناه عملية عدوى بطة الليمون:

تحظر قاعدة ATP HighOn 329 “تحديد ومنع الاستخدام المشبوه للمهام المجدولة في أنظمة التغيير العالي” LemonDuck في مرحلة إنشاء مهمة الجدولة. مرة أخرى ، مثل PowerMiner ، لدى McAfee أيضًا توقيع AMSI الذي يكتشف هذا التهديد باسم LemonDuck! .

تُظهر خريطة IP أدناه عمليات الكشف عن هذا التهديد بين أكتوبر 2019 ويناير 2020 بواسطة قاعدة ATP المذكورة أعلاه.

Emotet Downloader (تقييم المثال)

Emotet هو حصان طروادة مسؤول عن تنزيل وتنفيذ العديد من البرامج الضارة البارزة بما في ذلك Trickbot ، والذي عُرف بدوره بتنزيل برنامج Ryuk ransomware وتنفيذه. عادةً ما يتم تنزيل Emotet وتنفيذه على جهاز الضحية عن طريق مستندات ضارة يتم إرسالها عبر البريد الإلكتروني العشوائي. سيستخدم المستند الضار PowerShell لتنزيل ملف Emotet القابل للتنفيذ وتنفيذه. التدفق موضح أدناه:

ستكتشف قاعدة McAfee ATP 256 “اكتشاف استخدام الأمر PowerShell طويل الترميز” والقاعدة 264 “Inspect EncodedCommand Powershell” هذا السلوك إذا تم تمكينه. لا يتم تمكين هذا افتراضيًا لأن هذا السلوك يمكن أن يكون شرعيًا ، لذلك نوصي بالتحقق من الاكتشافات في وضع التقييم ، وإذا لم تحدث نتائج إيجابية خاطئة ، فقم بتشغيلها. ستحظر هذه القاعدة أيضًا البرامج الضارة الأخرى التي تؤدي نفس نشاط Trickbot. تُظهر خريطة IP أدناه عمليات الكشف التي أجرتها القاعدة 256 بين أكتوبر 2019 ويناير 2020. وسيشمل ذلك جميع التهديدات المكتشفة بواسطة هذه القاعدة ، وليس فقط Emotet.

التوصيات

الآن من المحتمل أن تسأل نفسك عن القواعد التي يجب عليك تشغيلها. أولاً ، تجدر الإشارة إلى أن تمكين قواعد ATP لن يكون له أي تأثير على الأداء ، ومع ذلك ، كما هو موضح في القسم الأول ، يمكن أن يؤدي في بعض الأحيان إلى نتائج إيجابية خاطئة.

من مجموعة قواعد ATP ، نوصي بتشغيل وضع “مراقبة” القواعد المذكورة في هذه المدونة.

بالإضافة إلى القواعد المذكورة لكل تهديد ، يمكن تحويل القواعد التالية إلى الوضع “ممكّن” من وحدة تحكم EPO كما وصفنا. كما ذكرنا ، هناك تقييم مستمر لهذه القواعد من قبل باحثي McAfee والذي يمكن أن يؤدي إلى انتقال القواعد إلى مجموعة قواعد مختلفة أو دمجها في قواعد أخرى موجودة.

  • القاعدة 238– التعرف على إساءة استخدام العمليات الشائعة الناتجة عن المواقع غير القياسية.
  • الحماية من الملفات التي يتم تنفيذها من المواقع المشبوهة والتي غالبًا ما يستخدمها المهاجمون.
  • القاعدة 309 – منع العمليات التي تحاول التشغيل من تطبيقات Office.
    • مستندات Office هي النواقل الرئيسية المستخدمة لنشر البرامج الضارة. تمنع هذه القاعدة إساءة استخدام تطبيقات Office لتسليم حمولات ضارة.
  • القاعدة 312 – منع تطبيقات البريد الإلكتروني ، مثل Outlook ، من إنتاج برامج تحرير البرامج النصية وأداة الاستخدام المزدوج
    • رسائل البريد الإلكتروني العشوائية هي نواقل هجوم أولية شائعة يستخدمها مؤلفو البرامج الضارة. ستساعد هذه القاعدة في اكتشاف الاستخدام المريب لتطبيقات البريد الإلكتروني من خلال منع بدء العمليات غير الشائعة.
  • القاعدة 323 – منع تشغيل mshta كعملية طفل.
    • ذات صلة بتقنية MITER T1170. Mshta.exe هي أداة مساعدة تقوم بتنفيذ تطبيقات Microsoft HTML (HTA). يمكن للمهاجمين استخدام mshta.exe لتنفيذ ملفات .hta ضارة وجافا سكريبت أو VBScript. ستساعد هذه القاعدة في اكتشاف حالات الاستخدام الضار.

بشكل عام ، نوصي بالاطلاع على سجلات ATP الخاصة بك والتحقق لمعرفة ما إذا كانت هناك قواعد وضع “مراقبة” تتسبب في اكتشافات. إذا وجدت أي قواعد لا تكتشف حالات الاستخدام المشروعة ، فننصح بتغييرها إلى الوضع “ممكّن”.

ننصح باستخدام مجموعات ePO لعدد صغير من الأجهزة ثم مراقبة البيئة المتغيرة بحثًا عن أي إيجابيات خاطئة. إذا لم تكن هناك نتائج إيجابية خاطئة ، يمكنك بعد ذلك نشر التغييرات على مجموعة أوسع.

مقالة قاعدة المعارف KB82925 يعرض جميع قواعد ATP المتاحة. يمكنك أيضًا الرجوع إلى ملاحظات إصدار قواعد ATP التي يتم تحديثها عند إنشاء قواعد جديدة أو تعديل القواعد الموجودة.

خاتمة

نأمل أن تكون هذه المدونة قد ساعدت في تسليط الضوء على كيفية حماية قواعد ATP لبيئتك من مجموعة متنوعة من التهديدات ، ومن خلال دمج هذه التكنولوجيا مع تقنيات أخرى مثل AMSI ، فإننا نعزز الحماية.

تتابع هذه المدونة سلسلة تساعد في عرض تقنيتنا ، لذلك نوصي أيضًا بقراءة ما يلي:

McAfee يحمي من مرفقات البريد الإلكتروني المشبوهة

يحمي تكامل McAfee AMSI من البرامج النصية الضارة

استخدام قواعد الخبراء في ENS لمنع عمليات الاستغلال الضارة

ما هو مشتا وكيف يمكن استخدامه وكيفية الحماية منه

تم إجراء جميع الاختبارات باستخدام JTI Content Version 1134 و MVISION Endpoint Version 20.1.0.114 (في حماية عالية)  

قد يعجبك ايضا