Uso de reglas expertas en ENS para prevenir exploits maliciosos


Las reglas de expertos son reglas personalizadas basadas en texto que se pueden crear en la política de prevención de exploits en ENS Threat Prevention 10.5.3+. Las reglas expertas proporcionan parámetros adicionales y permiten mucha más flexibilidad que las reglas personalizadas que se pueden crear en la política de protección de acceso. También permite que la administración del sistema controle / monitoree un sistema de punto final a un nivel muy granular. Las reglas de expertos no se basan en el enganche en modo de usuario; por lo tanto, tienen un impacto muy mínimo en el rendimiento de un sistema. Este blog se creó como una guía básica para mostrar a nuestros clientes cómo crearlos y qué amenazas pueden ayudar a bloquear. Se puede encontrar más información detallada en la conclusión.

Cómo funcionan las reglas de expertos

Las siguientes secciones muestran cómo agregar reglas Expertas a través de EPO y ENS.

Agregar una regla experta de EPO

1. Seleccione Árbol de sistema | Subgrupo (por ejemplo: ens_10.6.0) | Políticas asignadas | Producto (Prevención de amenazas de Endpoint Security) | Prevención de exploits (mi valor predeterminado)

2. Navega hasta Firmas y haga clic en Agregar regla de experto.

3. En el Reglas sección, complete los campos.

a. Seleccione la gravedad y la acción de la regla. La gravedad solo proporciona información; no tiene selección en la acción de la regla.

si. Seleccione el tipo de regla para crear. los Contenido de la regla el campo se completa con la plantilla para el tipo seleccionado.

C. Cambie el código de la plantilla para especificar el comportamiento de la regla.

Cuando selecciona un nuevo tipo de clase, el código en el campo Contenido de la regla se reemplaza con el código de plantilla correspondiente. Endpoint Security asigna el número de identificación automáticamente, comenzando con 20000. Endpoint Security no limita la cantidad de Reglas de expertos que puede crear.

4. Guarde la regla, luego guarde la configuración.

5. Aplicar la política a un sistema cliente.

6. Valide la nueva regla de experto en el sistema del cliente.

Agregar una regla experta directamente en el punto final:

Si necesitamos agregar una regla experta de EPO, se enviará a todos los puntos finales de un "GRUPO DE TRABAJO" EPO completo. Podría haber situaciones en las que se requiera la aplicación de reglas expertas en uno / dos sistemas o sistemas ENS que no son administrados por EPO (entorno no corporativo donde ENS se instala desde una configuración independiente); en esos casos, la regla del experto debe agregarse directamente en el punto final. Las reglas de expertos se pueden escribir y aplicar directamente en el sistema Endpoint utilizando la interfaz de usuario de McAfee Endpoint Security. Los pasos están abajo:

1. Abra McAfee Endpoint Security. Ir Configuraciones.

2. Ir a Prevención de amenazas | Espectáculo avanzado.

3. Desplácese hacia abajo hasta la Sección de reglas de expertos y luego haga clic en Agregar regla de experto.

4. El compilador de reglas experto debería aparecer donde un usuario final puede escribir y compilar directamente reglas expertas y, una vez compiladas, aplicar las reglas al sistema.

Si no hay un error de sintaxis en la regla experta, se puede aplicar en el sistema haciendo clic en el botón Aplicar. En caso de que haya un error de sintaxis, los detalles se pueden encontrar en el archivo de registro% ProgramData% McAfee Endpoint Security Logs ExploitPrevention_Debug.log

Probar las reglas

Cuando se crean nuevas reglas, primero deben probarse en modo "Informe" para que se puedan observar las detecciones. Cuando se ha ganado suficiente confianza en la regla, puede cambiarse al modo "Bloquear".

Ejemplos de reglas de expertos:

Regla básica:

La siguiente regla detectará una instancia de cmd.exe creando cualquier archivo en c: temp. Tenga en cuenta que cmd.exe puede ser ejecutado por cualquier usuario y desde cualquier parte del sistema.

Regla

Proceso

Incluir OBJECT_NAME -v "cmd.exe"

Target

Match FILE

Incluir OBJECT_NAME -v "c: \ temp \ **"

Incluir -acceso "CREAR"

Reglas que se dirigen a comportamientos maliciosos específicos:

Las siguientes reglas se pueden crear para ayudar a bloquear la actividad maliciosa específica que realizan diversas familias de malware y técnicas de ataque.

Regla de expertos para bloquear la inyección remota de procesos (técnica de inyección MITRE T1055):

Regla

Proceso

Incluir OBJECT_NAME -v "**"

Excluir OBJECT_NAME -v "SYSTEM"

Excluir OBJECT_NAME -v "% windir% \ System32 \ WBEM \ WMIPRVSE.EXE"

Excluir OBJECT_NAME -v "% windir% \ System32 \ CSRSS.EXE"

Excluir OBJECT_NAME -v "% windir% \ System32 \ WERFAULT.EXE"

Excluir OBJECT_NAME -v "% windir% \ System32 \ SERVICES.EXE"

Excluir OBJECT_NAME -v "* \ GOOGLE \ CHROME \ APPLICATION \ CHROME.EXE"

Target

Match THREAD

Incluir OBJECT_NAME -v "**"

Excluir OBJECT_NAME -v "** \ MEMCOMPRESSION"

Excluir OBJECT_NAME -v "% windir% \ System32 \ WERFAULT.EXE"

Incluir -acceso "ESCRIBIR"

Regla experta que evita que el proceso powershell.exe y powershell_ise.exe descarguen credenciales accediendo a la memoria lsass.exe (MITER Technique Credential Dumping T1003 ):

Regla

Proceso

Incluir OBJECT_NAME -v "powershell.exe"

Incluya OBJECT_NAME -v "powershell_ise.exe"

Excluir VTP_PRIVILEGES -type BITMASK -v 0x8

Target

PROCESO de partido

Incluir OBJECT_NAME -v "lsass.exe"

Incluir -nt_access "! 0x10"

Excluir -nt_access “! 0x400”

Regla experta que impide la creación de una tarea sospechosa (secuencia de comandos de PowerShell o archivo por lotes) utilizando la utilidad "SchTasks.exe" (Tarea programada de la técnica MITRE T1053):

Regla

Proceso

Incluir OBJECT_NAME -v "SchTasks.exe"

Incluir PROCESS_CMD_LINE -v "* / Create *"

Target

PROCESO de partido

Incluir PROCESS_CMD_LINE -v "**. Bat **"

PROCESO de partido

Incluir PROCESS_CMD_LINE -v “**. Ps1 **”

Regla de expertos para evitar la creación de entradas de inicio (Persistencia de la técnica MITRE T1060):

Los adversarios pueden usar varias técnicas para mantener la persistencia a través de reinicios del sistema. Una de las técnicas más populares es crear entradas en el Puesta en marcha carpeta. La siguiente regla experta evitará que cualquier proceso cree archivos en la carpeta Inicio. Recientemente, Internet ha sido testigo de una explotación completa de una vulnerabilidad WinRAR de una década (CVE-2018-20251) que puede explotarse soltando archivos en el directorio de Inicio. La siguiente regla de expertos también bloqueará dicho intento.

Regla

Proceso

Incluir OBJECT_NAME -v **

Target

Match FILE

Incluya OBJECT_NAME -v "** \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ **"

Incluir -acceso "CREAR ESCRIBIR"

Regla experta que bloquea la ejecución de JavaScript en Adobe Reader:

Explotar una vulnerabilidad de software del lado del cliente para obtener un punto de apoyo inicial en una red no es nuevo (Técnica MITRE T1203) Adobe Reader es un objetivo muy popular porque, como cualquier otro navegador, es compatible con JavaScript, lo que facilita mucho la explotación. La siguiente regla experta se puede implementar en cualquier red para evitar que Adobe Reader ejecute cualquier tipo de JavaScript.

Regla

Proceso

Incluir OBJECT_NAME -v "AcroRd32.exe"

Target

Match SECTION

Incluir OBJECT_NAME -v "EScript.api"

La tabla a continuación muestra cómo las cuatro Reglas de expertos anteriores se alinean en la matriz Mitre Att & ck.

Conclusión

Hay muchas más reglas que se pueden crear dentro de Prevención de exploits (parte de la Prevención de amenazas ENS de McAfee) y se pueden personalizar según el entorno y los requisitos del cliente. Por ejemplo, la regla de expertos que bloquea la ejecución de JavaScript en Adobe Reader no será de utilidad si una organización no utiliza el software "Adobe Reader". Para utilizar completamente esta función, recomendamos a nuestros clientes que lean las siguientes guías:

https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/27000/PD27227/en_US/ens_1053_rg_ExpertRules_0-00_en-us.pdf

https://kc.mcafee.com/corporate/index?page=content&id=KB89677

Descargo de responsabilidad: Las reglas expertas utilizadas aquí como ejemplos pueden causar un número significativo de falsos positivos en algunos entornos, por lo tanto, recomendamos que esas reglas se apliquen explícitamente solo en un entorno donde se requiere una mejor visibilidad de los eventos anteriores (o similares) a nivel granular.

Reconocimiento:

El autor desea agradecer a los siguientes colegas por su ayuda y aportes para la creación de este blog.

  • Oliver Devane
  • Abhishek Karnik
  • Cedric Cochin





Enlace a la noticia original