Il 27 aprile 2021, MITRE ha rilasciato un aggiornamento significativo al framework MITRE ATT&CK che includeva diverse tecniche nuove e aggiornate tra cui la modifica della politica di firma del codice T1553.006.
Gli attori malevoli stanno sviluppando nuovo malware per ottenere l’accesso iniziale e persistere nella rete della vittima. Le minacce persistenti avanzate (APT) sviluppano malware personalizzato che le soluzioni di protezione degli endpoint non riescono a prevenire. In determinati casi, gli APT modificano i driver per ottenere l’accesso a livello di kernel al sistema operativo per raggiungere il loro obiettivo. Tuttavia, Windows fornisce Driver Signature Enforcement (DSE) che richiede un certificato valido per installare un driver. System Integrity Protection (SIP) è l’equivalente macOS di DSE e gli avversari possono modificare la politica per passare alla modalità sviluppatore che ignora DSE.
Il Security Operations Center (SOC) è in grado di rilevare la modifica della policy del codice con la corretta visibilità e soluzioni come il rilevamento e la risposta degli endpoint (EDR) forniscono il livello di registrazione per identificare quando il DSE viene modificato. Per le organizzazioni senza EDR, sysmon è probabilmente un’opzione alternativa per fornire visibilità sugli endpoint. Oppure, un’altra opzione è quella di sfruttare la registrazione nativa di Windows per abilitare la creazione di processi e le modifiche alle chiavi di registro.
La possibilità che si verifichino modifiche alla politica di firma del codice è bassa, tuttavia, è possibile che le credenziali identificate nello svolgimento dell’attività siano compromesse. Pertanto, è importante che i log siano disponibili per un minimo di 30 giorni per cercare retroattivamente questa attività.
Sebbene gli APT abbiano utilizzato questa attività in passato, è possibile che una minaccia interna sfrutti la stessa tecnica. Le organizzazioni devono implementare una strategia di sicurezza approfondita che si concentri su più livelli di protezione e rilevamento.