Cómo usar McAfee ATP para protegerse contra Emotet, LemonDuck y PowerMiner


Introducción

Este blog describe cómo las reglas de McAfee ATP (Adaptive Threat Protection) se utilizan en los productos de McAfee Endpoint Security. Le ayudará a comprender cómo funcionan las Reglas ATP y cómo puede utilizarlas para prevenir infecciones de familias de malware prevalentes como Emotet, LemonDuck y PowerMiner. Lea la sección de recomendaciones para utilizar efectivamente las reglas en su entorno.

Las reglas ATP son una forma de tecnología de reducción de superficie de ataque que detecta el uso sospechoso de las funciones y aplicaciones del sistema operativo. Estas reglas se dirigen a comportamientos que a menudo son abusados ​​por los autores de malware. Puede haber casos en los que las aplicaciones legítimas utilizan el mismo comportamiento y, por lo tanto, las reglas deben configurarse en función del entorno.

Las reglas ATP dentro de McAfee Endpoint Security (ENS) 10.5.3 y superiores ya han detectado más de un millón de malware desde principios de 2020. Este blog le mostrará cómo habilitar las reglas ATP y explica por qué deberían habilitarse resaltando algunos de El malware que detectamos con ellos. También le mostraremos cómo maximizar las capacidades de detección ajustando algunas configuraciones específicas.

Primero, comencemos con una descripción general. Lanzamos reglas ATP en tres tipos: Evaluar, DefaultOn y HighOn.

Evaluar McAfee prueba las reglas en el campo para determinar si son lo suficientemente robustas como para detectar actividad maliciosa sin producir falsos positivos. Una vez que una regla ha estado en modo de evaluación durante un período de tiempo, los investigadores de McAfee analizarán su rendimiento y realizarán modificaciones o lo promoverán a DefaultOn o HighOn. Los clientes de ENS ATP conectados a McAfee ePolicy Orchestrator (ePO) pueden cambiar manualmente las reglas de evaluación al modo habilitado.

DefaultOn las reglas se crean cuando McAfee confía en que ninguna aplicación legítima se verá afectada. Estas reglas se habilitan de manera predeterminada en todos los grupos de reglas de McAfee Endpoint Security.

HighOn Las reglas detectan comportamientos que se sabe que son maliciosos, pero que pueden tener cierta superposición con aplicaciones no maliciosas. Estas reglas se establecen en el modo Observar para sistemas en el grupo de reglas "Equilibrado", pero actúan como DefaultOn para sistemas en el grupo de reglas "Seguridad". Más adelante en este blog, cubrimos cómo cambiar el grupo de reglas en los productos de Endpoint Security para habilitar las reglas HighOn.

Cómo habilitar las reglas ATP en ENS 10.5.3 y superior

Por defecto, muchas reglas ATP están configuradas en modo Observar. Para habilitar estas reglas en un modo de bloqueo activo, inicie sesión en la consola de ePO y vaya a Menú-> Configuración-> Configuración del servidor.

Figura 1. Reglas en el grupo de reglas equilibradas.

Seleccione Protección adaptativa contra amenazas y seleccione el grupo de reglas requerido (Productividad, Equilibradoo Seguridad)

Como se ve en la Figura 1, la Regla 329 está en modo Observar en el grupo de reglas Equilibrado y, en la Figura 2 a continuación, puede ver que está Activado de manera predeterminada en el grupo de reglas de Seguridad.

Nota: Como se mencionó anteriormente, analizamos las reglas de vez en cuando y hacemos modificaciones para que pueda tener diferentes configuraciones en su entorno, dependiendo de la versión del contenido.

Figura 2. Reglas en el grupo de reglas de seguridad.

Para habilitar una regla, haga clic en Editar debajo de las reglas y seleccione la regla que desea cambiar, luego seleccione el estado deseado: Deshabilitado, Habilitado u Observar. La Figura 3. muestra cómo podemos cambiar el estado de la Regla 256 que ayuda a detectar los descargadores de Emotet y Trickbot.

Figura 3. Cambio del estado de la regla.

Haga clic en Guardar y la regla debería habilitarse en los clientes en unos minutos. Aquí verá que la Regla 256 bloquea el archivo malicioso JTI / Suspect.131328 de forma predeterminada.

Figura 4. Evalúe el bloqueo de reglas después de habilitar.

Cambie el grupo de reglas asignado para usar reglas HighOn en ENS 10.5.3 y superior

En esta sección, veremos cómo puede cambiar el grupo de reglas a "Seguridad", lo que habilitará todas las reglas HighOn en modo de bloqueo de forma predeterminada. Le recomendamos que verifique los registros para ver si las reglas HighOn han detectado actividad limpia dentro de sus entornos antes de cambiar a este grupo de reglas.

Para cambiar el grupo de reglas, inicie sesión en la consola de ePO y vaya a Menú-> Sistemas-> Árbol de sistemas

Figura 5. Selección del grupo de sistemas para modificar Políticas para ENS.

Seleccione un grupo y vaya a la pestaña Políticas asignadas. Seleccione "Endpoint Security Adaptive Threat Protection" en el menú desplegable del producto.

Figura 6. Selección de políticas para modificar el grupo de reglas asignado.

Haga clic en la política "Mi predeterminado" en la categoría "Opciones".

Figura 7. Cambio del grupo de reglas a Seguridad.

Desplácese hacia abajo hasta Asignación de reglas. En la lista desplegable Asignación de reglas, seleccione Seguridad y haga clic en Guardar. Esto actualizará todos los clientes con la política "Mi predeterminado" al grupo de reglas de seguridad.

Habilitar reglas HighOn en MVISION Endpoint

Para habilitar las reglas HighOn, la política de MVISION Endpoint debe establecerse en "Alta protección" si aún no está configurada de manera predeterminada. Sigue estos pasos:

Inicie sesión en la consola de ePO y vaya a Menú-> Sistemas-> Árbol de sistemas

Figura 8. Selección del grupo de sistemas para modificar políticas para MVISION Endpoint

Seleccione un grupo y vaya a la pestaña Políticas asignadas. Seleccione "Punto final MVISION" en el menú desplegable del producto.

Figura 9. Seleccionar las políticas para cambiar el modo de Protección.

Haga clic en "Editar asignación" en Categoría general.

Figura 10. Cambio de MVISION Endpoint a High Protection.

Cambie "Heredar de" a "Romper herencia y asigne la política y la configuración a continuación". Además, cambie la "Política asignada" a "Alta protección" en la lista desplegable y haga clic en "Guardar". Esto habilitará todas las reglas HighOn.

Reglas ATP en estado salvaje

Esta sección destaca tres amenazas frecuentes que detectan las reglas ATP. Destacamos una regla para cada DefaultOn / HighOn / Evaluate para demostrar la importancia de monitorear las actualizaciones de reglas y habilitar reglas más agresivas si son adecuadas para su entorno.

PowerMiner (Ejemplo predeterminado)

El malware PowerMiner es un malware de criptomonedas que ha prevalecido desde 2019. Hemos discutido este malware anteriormente en un blog anterior sobre detección de AMSI. El propósito de PowerMiner es infectar tantas máquinas como sea posible para extraer moneda de Monero. El vector de infección inicial es a través de correos electrónicos de phishing que contienen un archivo por lotes. Una vez ejecutado, este archivo por lotes ejecutará un script malicioso de PowerShell que luego comenzará el proceso de infección.

ATP DefaultOn La regla 263 "Detectar procesos que acceden a URL sospechosas" y la Regla 262 "Identificar la ejecución sospechosa de parámetros de comando para asignaciones de grupo de reglas de seguridad" bloquea esta amenaza una vez que PowerShell es ejecutado por Dropper.bat e intenta descargar el archivo malicioso PS1.

Esto se muestra con la cruz roja en el diagrama de flujo anterior. Como se menciona en el blog de AMSI, esta amenaza también está cubierta por nuestras firmas de AMSI, pero como lo hacemos con varias amenazas, tenemos diferentes formas de detección en caso de que los autores de malware modifiquen su código para intentar evitar una de ellas.

El mapa de IP a continuación muestra las detecciones de esta amenaza entre octubre de 2019 y enero de 2020 por las Reglas ATP mencionadas anteriormente.

LemonDuck (ejemplo HighOn)

LemonDuck, como PowerMiner, es un malware de extracción de monedas. Se propaga a través de varios métodos, como el exploit Eternal Blue y Mimikatz. Una vez que una máquina ha sido infectada, LemonDuck creará varias tareas programadas para descargar varios componentes que incluyen la funcionalidad de minería de monedas. El siguiente diagrama de flujo muestra el proceso de infección de Lemon Duck:

La regla 329 de ATP HighOn "Identificar y bloquear el uso sospechoso de tareas programadas en sistemas de alto cambio" bloquea LemonDuck en la etapa de creación de tareas programadas. De nuevo, como PowerMiner, McAfee también tiene una firma AMSI que detecta esta amenaza como LemonDuck..

El siguiente mapa de IP muestra las detecciones de esta amenaza entre octubre de 2019 y enero de 2020 por la regla ATP mencionada anteriormente.

Emotet Downloader (Evaluar ejemplo)

Emotet es un troyano que se encarga de descargar y ejecutar varios malwares de alto perfil, incluido Trickbot, que a su vez se sabe que descarga y ejecuta el ransomware Ryuk. Emotet generalmente se descarga y ejecuta en la máquina de la víctima mediante documentos maliciosos que se envían por correo electrónico no deseado. El documento malicioso usará PowerShell para descargar el ejecutable de Emotet y ejecutarlo. El flujo se muestra a continuación:

La regla 256 de McAfee ATP "Detectar el uso del comando PowerShell de codificación larga" y la regla 264 "Inspeccionar el comando Encoded Powershell" detectarán este comportamiento si está habilitado. Esto no está habilitado de forma predeterminada ya que este comportamiento puede ser legítimo, por lo que recomendamos verificar las detecciones en el modo Evaluar y, si no se producen falsos positivos, activarlo. Esta regla también bloqueará otro malware que realiza la misma actividad que Trickbot. El siguiente mapa de IP muestra las detecciones que la Regla 256 ha tenido entre octubre de 2019 y enero de 2020. Esto incluirá todas las amenazas detectadas por esta regla, no solo Emotet.

Recomendaciones

A estas alturas probablemente te estés preguntando qué reglas debes activar. En primer lugar, debe tenerse en cuenta que habilitar las reglas ATP no tendrá ningún impacto en el rendimiento, sin embargo, como se destacó en la primera sección, a veces pueden causar falsos positivos.

De la colección de reglas ATP, recomendamos activar el Modo "Observar" reglas mencionadas en este blog.

Además de las reglas mencionadas para cada amenaza, las siguientes reglas pueden cambiarse al modo "Habilitado" desde la consola EPO como describimos. Como se mencionó, hay una evaluación continua de estas reglas por parte de los investigadores de McAfee que puede dar como resultado que las reglas se trasladen a un grupo de reglas diferente o se fusionen con otras reglas existentes.

  • Regla 238– Identificar el abuso de procesos comunes generados desde ubicaciones no estándar.
  • Protección contra archivos ejecutados desde ubicaciones sospechosas que los atacantes suelen utilizar.
  • Regla 309 – Bloquear procesos que intentan iniciarse desde aplicaciones de Office.
    • Los documentos de Office son los principales vectores utilizados para implementar malware. Esta regla evita que se abusa de las aplicaciones de Office para entregar cargas maliciosas.
  • Regla 312 – Evite que las aplicaciones de correo electrónico, como Outlook, generen editores de scripts y herramientas de doble uso
    • Los correos electrónicos no deseados son vectores de ataque iniciales comunes que utilizan los autores de malware. Esta regla ayudará a detectar el uso sospechoso de las aplicaciones de correo electrónico al evitar el lanzamiento de procesos poco comunes.
  • Regla 323 – Evite que mshta se inicie como un proceso secundario.
    • Relacionado con la técnica MITRE T1170. Mshta.exe es una utilidad que ejecuta aplicaciones HTML de Microsoft (HTA). Los atacantes pueden usar mshta.exe para ejecutar archivos .hta maliciosos y JavaScript o VBScript. Esta regla ayudará a detectar los casos de uso malicioso. Puedes leer más sobre mshta aquí.

En general, le recomendamos que revise sus registros de ATP y verifique si alguna de las reglas del modo "Observar" está causando detecciones. Si encuentra alguna regla que no detecte casos de uso legítimos, le recomendamos cambiarla al modo "Habilitado".

Recomendamos el uso de grupos de ePO para un pequeño número de máquinas y luego monitorear el entorno modificado para detectar falsos positivos. Si no hay falsos positivos, puede implementar los cambios en un grupo más amplio.

Artículo KB KB82925 muestra todas las reglas ATP disponibles. También puede consultar las Notas de publicación de reglas ATP que se actualizan cuando se crean nuevas reglas o se modifican las existentes.

Conclusión

Esperamos que este blog haya ayudado a resaltar cómo las reglas ATP protegen su entorno contra una variedad de amenazas y, al combinar esta tecnología con otras como AMSI, reforzamos la protección.

Este blog continúa una serie que ayuda a mostrar nuestra tecnología, por lo que también recomendamos leer lo siguiente:

McAfee protege contra archivos adjuntos sospechosos

La integración de McAfee AMSI protege contra scripts maliciosos

Uso de reglas de expertos en ENS para evitar exploits maliciosos

¿Qué es Mshta, cómo se puede usar y cómo protegerse contra él?

Todas las pruebas se realizaron con JTI Content Version 1134 y MVISION Endpoint Version 20.1.0.114 (en Alta Protección)





Enlace a la noticia original