Riepilogo
Si potrebbe notare un numero molto elevato di eventi di blocco raccolti nel portale di Microsoft Defender Advanced Threat Protection (MDATP). Questi eventi vengono generati dal motore Ci (Code Integrity) e possono essere identificati dal rispettivo ExploitGuardNonMicrosoftSignedBlocked ActionType.
Evento visualizzato nel log eventi dell'endpoint
|
ActionType |
Provider/origine |
ID evento |
Descrizione |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Blocco Di protezione dell'integrità del codice |
Evento visualizzato nella sequenza temporale
Al processo '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) è stato impedito il caricamento del binario non firmato da Microsoft '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Altre informazioni
Il motore CI verifica che in un dispositivo siano consentiti solo file attendibili. Quando CI è abilitato e rileva un file non attendibile, genera un evento di blocco. In modalità di controllo l'esecuzione del file è ancora consentita, mentre in modalità Di applicazione l'esecuzione del file non è consentita.
Ci può essere abilitato in diversi modi, tra cui quando si distribuiscono criteri Windows Defender Application Control (WDAC). In questa situazione, tuttavia, MDATP abilita CI nel back-end, che genera eventi quando rileva file di immagine nativa (NI) non firmati provenienti da Microsoft.
La firma di un file è stata concepita per consentire la verifica dell'autenticità dei file. Ci può verificare che un file non sia modificato e proviene da un'autorità attendibile in base alla relativa firma. La maggior parte dei file provenienti da Microsoft è firmata, ma alcuni file non possono essere o non sono firmati per vari motivi. Ad esempio, i binari NI (compilati con codice .NET Framework) vengono in genere firmati se sono inclusi in una versione. Tuttavia, in genere vengono rigenerate in un dispositivo e non possono essere firmate. Separatamente, per molte applicazioni è firmato solo il file CAB o MSI per verificarne l'autenticità al momento dell'installazione. Quando vengono eseguiti, creano altri file non firmati.
Attenuazione
Non è consigliabile ignorare questi eventi perché possono indicare autenticamente problemi di sicurezza. Un utente malintenzionato potrebbe ad esempio provare a caricare un file binario non firmato con l'esempio di codice proveniente da Microsoft.
Tuttavia, questi eventi possono essere filtrati per query quando si prova ad analizzare altri eventi in Advanced Hunting escludendo gli eventi che hanno ExploitGuardNonMicrosoftSignedBlocked ActionType.
Questa query mostra tutti gli eventi correlati a questo particolare rilevamento over:
Eventi Dispositivo
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" e InitiatingProcessFileName == "powershell.exe" e FileName termina con "ni.dll"
| dove timestamp > ago(7d)
Se si vuole escludere l'evento, è necessario invertire la query. In questo modo vengono visualizzati tutti gli eventi ExploitGuard (inclusi quelli di tipo EP), ad eccezione dei seguenti:
Eventi Dispositivo
| dove ActionType iniziawith "ExploitGuard"
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe") or (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName !endswith "ni.dll")
| dove timestamp > ago(7d)
Inoltre, se si usa .NET Framework 4.5 o versione successiva, è possibile scegliere di rigenerare i file NI per risolvere molti degli eventi superflui. A questo scopo, eliminare tutti i file NI nella directory NativeImages e quindi eseguire il comando di aggiornamento ngen per rigenerarli.
