T1010: Изучение открытых приложений
Злоумышленники могут попытаться получить список открытых окон приложений. Списки окон могут дать информацию о том, как используется система. Например, информация об окнах приложений может быть использована для определения потенциальных данных для сбора, а также для обнаружения средств защиты (см. Изучение средств защиты) с целью избежать их.
Для этого злоумышленники обычно используют функции системы. Например, они могут собирать информацию с помощью команд интерпретаторов командной строки и сценариев, а также функций нативного API.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий с идентификаторами 4103 и 4104 (PowerShell), 4688 (Windows Security Event Log), 1 (Sysmon), в командной строке которых содержится команда «Get-Process» (или ее псевдоним gps) с параметром mainWindowTitle (регистр может быть иным). — Мониторинг событий запуска процесса (execve) xprop (команда для получения всех открытых окон: xprop -root | grep '_NET_CLIENT_LIST_STACKING(WINDOW)', исследование каждого из окон по отдельности: xprop -id )
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API (такие как Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут пытаться получить список открытых окон приложений. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения системы и сети. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика 1. Подозрительные процессы
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о системе и сети. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell. Примечание. Извлечь команды можно из поля Payload события PowerShell с идентификатором 4103. Для регистрации событий модулей PowerShell с идентификатором 4103 включите ведение журнала для модуля Microsoft.PowerShell.Management. Аналитика 1. Подозрительные команды
|
---|