Wazuh. Wykrywanie złośliwego oprogramowania

Jeśli mówimy o bezpieczeństwie systemów IT to wykrywanie złośliwego oprogramowania jest jednym z podstawowych zadań. Wykrywanie odnosi się do procesu analizy systemu operacyjnego lub sieci pod kątem obecności złośliwego oprogramowania i zainfekowanych plików. Dodatkowo, złośliwe oprogramowanie infekuje system i może go modyfikować przy użyciu różnych technik, aby uniknąć wykrycia.

Specjalne oprogramowanie pomaga zidentyfikować zagrożenie, sprawdzając sygnatury znanego złośliwego oprogramowania. Odpowiednie narzędzia mogą również ujawniać aktywność hakera w systemie poprzez wykrywanie podejrzanych zachowań związanych z działaniem ich oprogramowania. Wazuh też i na tym polu pomogą nam, choć korzysta z dodatkowych rozwiązań do realizacji tej funkcji. 

Wykorzystywany jest tu moduł monitorowania integralności plików w połączeniu ze specjalistycznym oprogramowaniem do wykrywania zagrożeń. Na przykład VirusTotal, ClamAV, YARA czy Windows Defender. Wazuh zbiera log z tych programów i dzięki temu mamy informacje o zagrożeniach bezpośrednio na naszym Dashboardzie. Dodatkowo może zareagować na takie zdarzenie przenosząc plik do kwarantanny lub usuwając (moduł active response).

Gdy pojawia się nowy plik w systemie lub jest modyfikowany obecny, wtedy wyłapuję to zdarzenie moduł monitorowania integralności pliku, który przekazuje zadanie przeskanowania nowego lub zmodyfikowanego obiektów przez program wykrywający złośliwe oprogramowanie. 

Integracja Wazuh i VirtusTotal

VirusTotal – serwis internetowy umożliwiający skanowanie poszczególnych plików i przedstawienie wyników pozwalających stwierdzić ewentualną infekcję szkodliwym oprogramowaniem. Serwis analizuje wysłany plik jednocześnie za pomocą 85 skanerów antywirusowych, a co za tym idzie, wyświetla bardziej wiarygodne wyniki niż tradycyjne oprogramowanie antywirusowe. Zastosowanie takiej liczby skanerów umożliwia również wyeliminowanie ewentualnych fałszywych alarmów.

Źródło: Wikipedia

VirusTotal udostępnia interfejs API, który umożliwia dostęp do funkcjonalności oferowanej przez VirusTotal bez konieczności korzystania ze strony WWW.
Mamy do dyspozycji dwa typu interfejsu API:

• Publiczne API – darmowe, dostępne dla wszystkich po zarejestrowaniu ale z dziennymi limitami, niskim priorytetem dostępu do usługi i zakazem wykorzystania komercyjnego
• Premium API – płatne, bez limitów wysokim priorytetem na dostęp do usługi i do wykorzystania komercyjnego zgodnie z zasadami (Terms of Service)

Integracja Wazuh i YARA

Podobnie można połączyć moduł monitorowania integralności plików z działaniem definicji Yara. Dla przypomnienia, Yara to narzędzie typu open source, które identyfikuje i klasyfikuje obiekty złośliwego oprogramowania na podstawie wzorców tekstowych lub binarnych. Wzorce te są wskaźnikami znalezionymi w próbkach złośliwego oprogramowania i są zdefiniowane w pliku reguł YARA (YARA Rules). Społeczność YARA aktualizuje plik reguł YARA, aby zawierał nowo wykryte sygnatury złośliwego oprogramowania.

Kiedy moduł monitorowania integralności plików wykryje zmianę to uruchamiany jest skrypt .sh i skanowany jest plik/katalog. Dodatkowo obiekt sklasyfikowany jako zagrożenie może być przeniesiony do kwarantanny lub od razu usunięty. 

Integracja Wazuh i ClamAV

ClamAV to jedno z najpopularniejszych rozwiązań antywirusowych (open source) dla systemów Linux, choc oczywiście istnieje tez w wersjach dal innych systemów operacyjnych. Dzięki tej integracji, możemy wykrywać różnego rodzaju złośliwe oprogramowanie, w tym wirusy i trojany.

Wazuh posiada reguły do obsługi logów z ClamAV. Uruchamianie samego skanowania może być niezależne od Wazuha.

Integracja Wazuh i Windows Defender

Windows Defender to wbudowane w system Windows narzędzie anty-malware. Mimo że darmowe to całkiem też dobrze się sprawdza w wykrywaniu różnych zadrożeń. Wazuh standardowo posiada definicje do obslugi logóœ z tego programu. 

Wazuh posiada też wbudowany moduł do wykrywania zagrożen typu Rootkit.

Rootkit (ang. root „korzeń, rdzeń”) – narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa ono niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. – Wikipedia

Zaraz po zainstalowaniu agenta, wykonywane jest skanowanie określonych miejsc w poszukiwaniu zagrożeń tego typu.

Hakerzy stają się kreatywni w łamaniu zabezpieczeń systemów, pojawia się coraz więcej nowych wariantów złośliwego oprogramowania, które mają nowe wzorce zachowań i wskaźniki kompromitacji (indicator of compromise). Wymaga to całkiem nowych reguł wykrywania. Wazuh ma gotowy, bogaty zestaw reguł, które wykrywają ataki, włamania, niewłaściwe użycie oprogramowania, problemy z konfiguracją, błędy aplikacji, złośliwe oprogramowanie, rootkity, anomalie systemowe i naruszenia zasad bezpieczeństwa. Reguły te są utrzymywane i aktualizowane przy każdym wydaniu produktu, aby zwiększyć jego możliwości wykrywania zagrożeń. Co więcej, możesz tworzyć własne niestandardowe reguły wykrywania i wzorce zachowań.