In diesem Abschnitt wird erklärt, wie Sie Einstellungen zum Speicherschutz festlegen, wie der Agent auf Angriffe auf den Arbeitsspeicher reagiert – einschließlich Prozessinjektionen und Rechteeskalationen.
Die Speicherschutzeinstellungen legen fest, wie der Agent mit Speicherangriffen, einschließlich Prozessinjektionen und Eskalationen, umgeht. Fügen Sie Ausnahmen für ausführbare Dateien oder Makrodateien hinzu, deren Ausführung Sie zulassen möchten.
Wichtig:
Der Speicherschutz sollte aktiviert werden; hierbei sind erstmal die einfachsten Verletzungstypen aktiv.
Stack Pivot
Ziel des Schutzes: Verhindert die Umleitung des Stack-Zeigers auf bösartige Speicherbereiche.
Szenario: Ein Angreifer manipuliert den Stack, um z. B. ROP (Return-Oriented Programming) durchzuführen.
Aurora Schutz: Überwacht Stack-Änderungen und erkennt untypische Speicherbereiche für Stacks → Angriff wird blockiert.
Stack Protect:
Ziel des Schutzes: Erkennt und verhindert Buffer Overflows durch Schutzmechanismen wie Stack-Canaries.
Szenario: Angreifer überschreibt Funktionsrücksprungadressen, um Kontrolle über den Programmfluss zu übernehmen.
Aurora Schutz: Erkennt Veränderungen an Stack-Schutzmechanismen und verhindert Stack-Manipulation.
Überschreiben von Code:
Ziel des Schutzes: Verhindert die Modifikation von im Speicher liegendem Code.
Szenario: Malware schreibt in Speicherbereiche eines Prozesses, um z. B. Funktionen umzuleiten oder eigene Routinen einzuschleusen.
Aurora Schutz: Blockiert Speicherzugriffe auf ausführbare Bereiche, erkennt Code-Manipulation in Echtzeit.
RAM-Scraping:
Ziel des Schutzes: Erkennt und blockiert das Auslesen sensibler Daten aus dem RAM.
Szenario: Kreditkartendaten werden nach der Verarbeitung im Speicher abgegriffen, z. B. bei Kassensystemen.
Aurora Schutz: Erkennung von Prozessen mit verdächtigem Speicherzugriff; Anwendungsspeicher kann geschützt oder verschlüsselt werden.
Schädliche Payload:
Ziel des Schutzes: Blockiert die Ausführung bösartiger Nutzlasten im Speicher.
Szenario: Schadcode wird über Exploits oder Malware geladen, z. B. Ransomware, Keylogger, etc.
Aurora Schutz: KI-basierte Analyse erkennt typische Merkmale bösartiger Payloads, unabhängig vom Dateinamen oder Hash.
Systemaufrufüberwachung (Syscall Monitoring):
Ziel des Schutzes: Erkennt ungewöhnliche oder nicht autorisierte Systemaufrufe.
Szenario: Malware verwendet direkte oder manipulierte Systemaufrufe zur Umgehung von Sicherheitskontrollen.
Aurora Schutz: Aurora Protect analysiert Systemaufrufe kontextbasiert und blockiert auffällige Aufrufmuster.
Direkte Systemaufrufe (Direct Syscalls):
Ziel des Schutzes: Blockiert den Versuch, Systemfunktionen direkt über Assembly-Anweisungen anzusprechen.
Szenario: Malware umgeht Benutzerland-API-Hooks, um unbemerkt Systemfunktionen zu nutzen.
Aurora Schutz: Erkennt ungewöhnliche direkte Syscalls, besonders aus nicht vertrauenswürdigen Modulen.
Überschreiben von System-DLLs:
Ziel des Schutzes: Erkennt und blockiert das Ersetzen oder Modifizieren von legitimen Windows-Systembibliotheken im Speicher.
Szenario: Ein Angreifer ersetzt kernel32.dll oder ntdll.dll im Speicher, um das Systemverhalten zu manipulieren.
Aurora Schutz: Überwacht die Integrität von geladenen Systemkomponenten im Speicher und erkennt Abweichungen.
Gefährliches COM-Objekt:
Ziel des Schutzes: Erkennt und blockiert bekannte gefährliche COM-Komponenten (z. B. für LOLBins).
Szenario: COM-Objekte wie Shell.Application werden zur Codeausführung missbraucht, z. B. durch Office-Makros.
Aurora Schutz: Erkennung von verdächtigem COM-Zugriff, z. B. durch Office oder unbekannte Prozesse.
Injektion über APC (Asynchronous Procedure Call):
Ziel des Schutzes: Blockiert Injektionsversuche über den APC-Mechanismus.
Szenario: Schadcode wird über gezielte Threads und APCs in andere Prozesse eingeschleust.
Aurora Schutz: Überwachung der Queue-APIs und Blockierung verdächtiger APC-Muster.
Gefährliches VBA-Makro:
Ziel des Schutzes: Erkennt und blockiert VBA-Makros mit verdächtigem Verhalten (z. B. Codeausführung, Netzwerkanfragen).
Szenario: Ein Office-Dokument enthält ein Makro, das beim Öffnen Malware nachlädt oder ausführt.
Aurora Schutz: Scannt eingebettete Makros, erkennt verdächtige Befehle, Netzwerkanfragen oder Shellausführungen.
Remote-Speicherzuweisung:
Technik: Ein Prozess ruft VirtualAllocEx auf, um Speicher in einem fremden Prozess zu reservieren.
Szenario: Vorbereitung auf eine Injektion – Speicher wird für den Payload im Zielprozess bereitgestellt.
Aurora Schutz: Erkennt Speicherzuweisungen zwischen Prozessen und blockiert unerlaubte Speicheroperationen durch verdächtige Prozesse.
Remote-Speicherzuordnung:
Technik: Zuweisung von gemeinsam nutzbarem Speicher (Shared Memory) zur Prozesskommunikation oder Injektion.
Szenario: Malware nutzt Techniken wie CreateFileMapping und MapViewOfFile zur Injektion ohne klassischen API-Zugriff.
Aurora Schutz: Erkennung verdächtiger interprozessualer Speicherzuordnungen und Zugriffskontrolle.
Remote-Schreiben in Speicher:
Technik: WriteProcessMemory wird verwendet, um Daten (z. B. Shellcode) in den Speicher eines anderen Prozesses zu schreiben.
Szenario: Schadcode wird in einen legitimen Prozess geschrieben, um z. B. Antivirenprogramme zu umgehen.
Aurora Schutz: Blockiert unautorisierte Speicherzugriffe zwischen Prozessen, insbesondere bei nicht signierten Anwendungen.
Remote-Schreiben von PE in Speicher:
Technik: Eine vollständige Portable Executable (PE) wird im Speicher eines fremden Prozesses platziert.
Szenario: Malware wie Reflective Loader lädt eine EXE oder DLL vollständig in den Arbeitsspeicher.
Aurora Schutz: Erkennung typischer Muster von In-Memory-PEs und Validierung der Integrität des geladenen Codes.
Remote-Überschreiben von Code:
Technik: Bestehender Code in einem anderen Prozess wird überschrieben, z. B. zur Manipulation von Kontrollflüssen.
Szenario: Ein injizierter Thread verändert legitime Funktionen zur Ausführung von Schadcode.
Aurora Schutz: Überwachung von Änderungen an ausführbarem Speicher und Erkennung von Code-Injektionen in Echtzeit.
Remote-Aufhebung der Speicherzuordnung:
Technik: VirtualFreeEx wird verwendet, um Speicher in einem fremden Prozess zu löschen.
Szenario: Manipulation des Ablaufs oder Entfernung von Schutzfunktionen im Zielprozess.
Aurora Schutz: Erkennt destruktive Eingriffe in den Speicher fremder Prozesse.
Remote-Thread-Erstellung:
Technik: Ein Thread wird in einem anderen Prozess erstellt, z. B. durch CreateRemoteThread.
Szenario: Schadcode wird über einen eigenen Thread im Zielprozess ausgeführt.
Aurora Schutz: Blockiert nicht autorisierte Thread-Erstellungen zwischen Prozessen, insbesondere aus nicht vertrauenswürdigen Quellen.
Remote-APC-Planung:
Technik: QueueUserAPC fügt einem existierenden Thread im Zielprozess eine Funktion zur asynchronen Ausführung hinzu.
Szenario: Unauffällige Codeausführung durch Auslösung bei passendem Moment, z. B. beim Warten auf Ereignisse.
Aurora Schutz: Überwachung von APC-Mechanismen und Erkennung verdächtiger Payload-Einreihungen in Threads.
DYLD-Injektion (nur macOS und Linux):
Technik: Nutzung von DYLD_INSERT_LIBRARIES (macOS) oder LD_PRELOAD (Linux), um beim Start eine Bibliothek in einen Prozess zu injizieren.
Szenario: Eine manipulierte Umgebung injiziert eine bösartige Bibliothek vor dem eigentlichen Start.
Aurora Schutz: Erkennung unautorisierter dynamischer Bibliothekspfadinjektionen bei Prozessstart.
Doppelgänger (Process Doppelgänging):
Technik: NTFS-Transaktionen werden genutzt, um ein legitimes Programm durch Schadcode zu ersetzen, ohne Spuren im Dateisystem zu hinterlassen.
Szenario: Antivirenprogramme sehen nur den legitimen Prozess, obwohl der Speicher manipuliert ist.
Aurora Schutz: Erkennung inkonsistenter Speicher-/Dateizuordnungen und Prüfung des echten Inhalts trotz unauffälliger Hülle.
Gefährliche Umgebungsvariable:
Technik: Setzen von Variablen wie PATH, LD_LIBRARY_PATH, DYLD_* zur Beeinflussung des Programmverhaltens.
Szenario: Ein Angreifer ändert Systemumgebungen, um z. B. eigene Bibliotheken laden zu lassen.
Aurora Schutz: Überwachung von Umgebungseinflüssen beim Start kritischer Prozesse und Erkennung schädlicher Variablenmanipulation.
Technik: Zugriff auf den Speicher des Local Security Authority Subsystem Service (LSASS, lsass.exe) mittels ReadProcessMemory oder ähnlicher Methoden.
Szenario: Angreifer lesen Anmeldeinformationen oder Hashes aus dem Speicher von LSASS aus, z. B. mit Tools wie Mimikatz.
Aurora Schutz: Blockiert nicht autorisierte Speicherzugriffe auf kritische Prozesse wie LSASS und erkennt typische Angriffssignaturen.
Nullzuweisung (Null Dereference / Null Page Allocation):
Technik: Nutzung einer zugewiesenen oder missbrauchten Nullseite (0x00000000) zur Umleitung von Kontrollflüssen oder zur Kernel-Ausnutzung.
Szenario: Ein Exploit nutzt eine Schwachstelle, um Kernel-Funktionen auf benutzerdefinierte Speicherbereiche umzuleiten.
Aurora Schutz: Erkennung von unzulässigen Speicherzuweisungen im unteren Adressraum; moderne Systeme blockieren standardmäßig Nullzuweisungen.
Änderungen der Speicherberechtigungen in anderen Prozessen:
Technik: Nutzung von Funktionen wie VirtualProtectEx, um fremde Speicherbereiche von READ auf EXECUTE zu ändern.
Szenario: Schadcode wird eingeschleust, und anschließend werden die Berechtigungen angepasst, um die Ausführung zu ermöglichen.
Aurora Schutz: Erkennt und blockiert unautorisierte Änderungen an Speicherberechtigungen fremder Prozesse, insbesondere bei Übergängen von RW auf RX.
Änderungen der Speicherberechtigungen in untergeordneten Prozessen:
Technik: Ein Elternprozess verändert gezielt die Speicherberechtigungen seiner eigenen Kindprozesse.
Szenario: Z. B. eine legitime Anwendung startet einen Kindprozess und injiziert dort Shellcode durch Änderung der Speicherrechte.
Aurora Schutz: Überwachung der Interaktion zwischen Prozessen; erkennt auffällige Speicheränderungen selbst innerhalb von Prozessgruppen.
Gestohlenes Systemtoken:
Technik: Missbrauch eines vorhandenen Systemtokens zur Rechteeskalation, z. B. durch DuplicateToken, SetThreadToken.
Szenario: Ein Angreifer kapert ein Token von SYSTEM, um einen eigenen Prozess mit höchsten Rechten auszuführen.
Aurora Schutz: Erkennung und Blockierung verdächtiger Token-Nutzung, insbesondere bei untypischen Prozessen oder von nicht privilegierten Kontexten aus.
Prozessstart mit geringer Integrität:
Technik: Start eines Prozesses im Low Integrity Level, wodurch weniger Überwachung durch Antivirensoftware (AV) oder Endpoint Detection and Response (EDR) Systeme erfolgen kann.
Szenario: Ein Angreifer startet absichtlich einen Prozess mit niedriger Sicherheitsstufe, um z. B. in isolierten Umgebungen Code auszuführen oder Restriktionen zu umgehen.
Aurora Schutz: Erkennung ungewöhnlicher Integritätsstufen und Blockierung nicht autorisierter Ausführungen in Low-Trust-Zonen.