T1006: Прямой доступ к тому
Злоумышленники могут получить прямой доступ к логическому тому, чтобы обойти контроль доступа к файлам и средства мониторинга файловой системы. Windows позволяет программам получать прямой доступ к логическим томам. Программы с прямым доступом могут читать файлы непосредственно с диска и записывать файлы непосредственно на диск, анализируя структуры данных файловой системы. Эта техника позволяет обойти контроль доступа к файлам Windows, а также средства мониторинга файловой системы .
Существуют утилиты для выполнения этих действий в PowerShell, например NinjaCopy
. Злоумышленники также могут использовать встроенные или сторонние утилиты (например, vssadmin
, wbadmin
и esentutl) для создания теневых или резервных копий данных с системных томов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процессов, в командной строке которых есть фрагмент «New-Object IO.FileStream ".#{volume}"», где #{volume} — название тома
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание теневых копий тома и резервных копий, обращая особое внимание на нетипичную деятельность (например, нестандартные время, пользователь или другие характеристики). |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Доступ к накопителю | Описание | Отслеживайте открытые дескрипторы томов, созданные процессами, чтобы выявить случаи их использования для сбора данных с логических дисков . |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для копирования файлов с логических дисков и обхода традиционных механизмов защиты файловой системы. Поскольку эта техника может выполняться через PowerShell, рекомендуется включить дополнительное журналирование сценариев PowerShell. |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В некоторых решениях для обеспечения безопасности конечных точек можно настроить блокирование определенных действий, связанных с попытками злоумышленников создать резервные копии, — например, выполнения команд или предотвращения вызовов API для служб, связанных с резервным копированием. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Проследите, чтобы привилегии управления резервными копиями были только у тех учетных записей, которым они требуются. Обращайте внимание на несанкционированные операции с резервными копиями, производимые этими учетными записями. |
---|