Las reglas de expertos son reglas personalizadas basadas en texto que se pueden crear en la política de prevención de exploits en ENS Threat Prevention 10.5.3+. Las reglas expertas proporcionan parámetros adicionales y permiten mucha más flexibilidad que las reglas personalizadas que se pueden crear en la política de protección de acceso. También permite que la administración del sistema controle / monitoree un sistema de punto final a un nivel muy granular. Las reglas de expertos no se basan en el enganche en modo de usuario; por lo tanto, tienen un impacto muy mínimo en el rendimiento de un sistema. Este blog se creó como una guía básica para mostrar a nuestros clientes cómo crearlos y qué amenazas pueden ayudar a bloquear. Se puede encontrar más información detallada en la conclusión.
Cómo funcionan las reglas de expertos
Las siguientes secciones muestran cómo agregar reglas Expertas a través de EPO y ENS.
Agregar una regla experta de EPO
1. Seleccione Árbol de sistema | Subgrupo (por ejemplo: ens_10.6.0) | Políticas asignadas | Producto (Prevención de amenazas de Endpoint Security) | Prevención de exploits (mi valor predeterminado)
2. Navega hasta Firmas y haga clic en Agregar regla de experto.
3. En el Reglas sección, complete los campos.
a. Seleccione la gravedad y la acción de la regla. La gravedad solo proporciona información; no tiene selección en la acción de la regla.
si. Seleccione el tipo de regla para crear. los Contenido de la regla el campo se completa con la plantilla para el tipo seleccionado.
C. Cambie el código de la plantilla para especificar el comportamiento de la regla.
Cuando selecciona un nuevo tipo de clase, el código en el campo Contenido de la regla se reemplaza con el código de plantilla correspondiente. Endpoint Security asigna el número de identificación automáticamente, comenzando con 20000. Endpoint Security no limita la cantidad de Reglas de expertos que puede crear.
4. Guarde la regla, luego guarde la configuración.
5. Aplicar la política a un sistema cliente.
6. Valide la nueva regla de experto en el sistema del cliente.
Agregar una regla experta directamente en el punto final:
Si necesitamos agregar una regla experta de EPO, se enviará a todos los puntos finales de un "GRUPO DE TRABAJO" EPO completo. Podría haber situaciones en las que se requiera la aplicación de reglas expertas en uno / dos sistemas o sistemas ENS que no son administrados por EPO (entorno no corporativo donde ENS se instala desde una configuración independiente); en esos casos, la regla del experto debe agregarse directamente en el punto final. Las reglas de expertos se pueden escribir y aplicar directamente en el sistema Endpoint utilizando la interfaz de usuario de McAfee Endpoint Security. Los pasos están abajo:
1. Abra McAfee Endpoint Security. Ir Configuraciones.
2. Ir a Prevención de amenazas | Espectáculo avanzado.
3. Desplácese hacia abajo hasta la Sección de reglas de expertos y luego haga clic en Agregar regla de experto.
4. El compilador de reglas experto debería aparecer donde un usuario final puede escribir y compilar directamente reglas expertas y, una vez compiladas, aplicar las reglas al sistema.
Si no hay un error de sintaxis en la regla experta, se puede aplicar en el sistema haciendo clic en el botón Aplicar. En caso de que haya un error de sintaxis, los detalles se pueden encontrar en el archivo de registro% ProgramData% McAfee Endpoint Security Logs ExploitPrevention_Debug.log
Probar las reglas
Cuando se crean nuevas reglas, primero deben probarse en modo "Informe" para que se puedan observar las detecciones. Cuando se ha ganado suficiente confianza en la regla, puede cambiarse al modo "Bloquear".
Ejemplos de reglas de expertos:
Regla básica:
La siguiente regla detectará una instancia de cmd.exe creando cualquier archivo en c: temp. Tenga en cuenta que cmd.exe puede ser ejecutado por cualquier usuario y desde cualquier parte del sistema.
Regla
Proceso
Incluir OBJECT_NAME -v "cmd.exe"
Target
Match FILE
Incluir OBJECT_NAME -v "c: \ temp \ **"
Incluir -acceso "CREAR"
Reglas que se dirigen a comportamientos maliciosos específicos:
Las siguientes reglas se pueden crear para ayudar a bloquear la actividad maliciosa específica que realizan diversas familias de malware y técnicas de ataque.
Regla de expertos para bloquear la inyección remota de procesos (técnica de inyección MITRE T1055):
Regla
Proceso
Incluir OBJECT_NAME -v "**"
Excluir OBJECT_NAME -v "SYSTEM"
Excluir OBJECT_NAME -v "% windir% \ System32 \ WBEM \ WMIPRVSE.EXE"
Excluir OBJECT_NAME -v "% windir% \ System32 \ CSRSS.EXE"
Excluir OBJECT_NAME -v "% windir% \ System32 \ WERFAULT.EXE"
Excluir OBJECT_NAME -v "% windir% \ System32 \ SERVICES.EXE"
Excluir OBJECT_NAME -v "* \ GOOGLE \ CHROME \ APPLICATION \ CHROME.EXE"
Target
Match THREAD
Incluir OBJECT_NAME -v "**"
Excluir OBJECT_NAME -v "** \ MEMCOMPRESSION"
Excluir OBJECT_NAME -v "% windir% \ System32 \ WERFAULT.EXE"
Incluir -acceso "ESCRIBIR"
Regla experta que evita que el proceso powershell.exe y powershell_ise.exe descarguen credenciales accediendo a la memoria lsass.exe (MITER Technique Credential Dumping T1003 ):
Regla
Proceso
Incluir OBJECT_NAME -v "powershell.exe"
Incluya OBJECT_NAME -v "powershell_ise.exe"
Excluir VTP_PRIVILEGES -type BITMASK -v 0x8
Target
PROCESO de partido
Incluir OBJECT_NAME -v "lsass.exe"
Incluir -nt_access "! 0x10"
Excluir -nt_access “! 0x400”
Regla experta que impide la creación de una tarea sospechosa (secuencia de comandos de PowerShell o archivo por lotes) utilizando la utilidad "SchTasks.exe" (Tarea programada de la técnica MITRE T1053):
Regla
Proceso
Incluir OBJECT_NAME -v "SchTasks.exe"
Incluir PROCESS_CMD_LINE -v "* / Create *"
Target
PROCESO de partido
Incluir PROCESS_CMD_LINE -v "**. Bat **"
PROCESO de partido
Incluir PROCESS_CMD_LINE -v “**. Ps1 **”
Regla de expertos para evitar la creación de entradas de inicio (Persistencia de la técnica MITRE T1060):
Los adversarios pueden usar varias técnicas para mantener la persistencia a través de reinicios del sistema. Una de las técnicas más populares es crear entradas en el Puesta en marcha carpeta. La siguiente regla experta evitará que cualquier proceso cree archivos en la carpeta Inicio. Recientemente, Internet ha sido testigo de una explotación completa de una vulnerabilidad WinRAR de una década (CVE-2018-20251) que puede explotarse soltando archivos en el directorio de Inicio. La siguiente regla de expertos también bloqueará dicho intento.
Regla
Proceso
Incluir OBJECT_NAME -v **
Target
Match FILE
Incluya OBJECT_NAME -v "** \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ **"
Incluir -acceso "CREAR ESCRIBIR"
Regla experta que bloquea la ejecución de JavaScript en Adobe Reader:
Explotar una vulnerabilidad de software del lado del cliente para obtener un punto de apoyo inicial en una red no es nuevo (Técnica MITRE T1203) Adobe Reader es un objetivo muy popular porque, como cualquier otro navegador, es compatible con JavaScript, lo que facilita mucho la explotación. La siguiente regla experta se puede implementar en cualquier red para evitar que Adobe Reader ejecute cualquier tipo de JavaScript.
Regla
Proceso
Incluir OBJECT_NAME -v "AcroRd32.exe"
Target
Match SECTION
Incluir OBJECT_NAME -v "EScript.api"
La tabla a continuación muestra cómo las cuatro Reglas de expertos anteriores se alinean en la matriz Mitre Att & ck.
Conclusión
Hay muchas más reglas que se pueden crear dentro de Prevención de exploits (parte de la Prevención de amenazas ENS de McAfee) y se pueden personalizar según el entorno y los requisitos del cliente. Por ejemplo, la regla de expertos que bloquea la ejecución de JavaScript en Adobe Reader no será de utilidad si una organización no utiliza el software "Adobe Reader". Para utilizar completamente esta función, recomendamos a nuestros clientes que lean las siguientes guías:
https://kc.mcafee.com/corporate/index?page=content&id=KB89677
Descargo de responsabilidad: Las reglas expertas utilizadas aquí como ejemplos pueden causar un número significativo de falsos positivos en algunos entornos, por lo tanto, recomendamos que esas reglas se apliquen explícitamente solo en un entorno donde se requiere una mejor visibilidad de los eventos anteriores (o similares) a nivel granular.
Reconocimiento:
El autor desea agradecer a los siguientes colegas por su ayuda y aportes para la creación de este blog.
- Oliver Devane
- Abhishek Karnik
- Cedric Cochin