Техника на mitre.org

T1010: Изучение открытых приложений

Злоумышленники могут попытаться получить список открытых окон приложений. Списки окон могут дать информацию о том, как используется система. Например, информация об окнах приложений может быть использована для определения потенциальных данных для сбора, а также для обнаружения средств защиты (см. Изучение средств защиты) с целью избежать их.

Для этого злоумышленники обычно используют функции системы. Например, они могут собирать информацию с помощью команд интерпретаторов командной строки и сценариев, а также функций нативного API.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_discovery: PT-CR-2795: Unix_X_Windows_Properties_Discovery: Злоумышленник может получить информацию о свойствах открытых окон X-сервера. Эта информация может использоваться для идентификации потенциальных данных для сбора, а также для идентификации средств безопасности для обхода mitre_attck_discovery: PT-CR-2796: WindowsTitle_Discovery: Пользователь выполнил команду для получения информации об открытых графических окнах в системе. Злоумышленники могут таким образом обнаруживать данные, которые можно собрать, или средства защиты, которые потребуется обойти

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о системе и сети. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell.

Примечание. Извлечь команды можно из поля Payload события PowerShell с идентификатором 4103. Для регистрации событий модулей PowerShell с идентификатором 4103 включите ведение журнала для модуля Microsoft.PowerShell.Management.

Аналитика 1. Подозрительные команды

source=WinEventLog:"*Microsoft-Windows-PowerShell/Operational" EventCode="4103" | where CommandLine LIKE "%Get-Process%" AND CommandLine LIKE "%mainWindowTitle%"

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API (такие как GetForegroundWindow()), с помощью которых можно попытаться получить список открытых окон приложений. API GetForegroundWindow возвращает дескриптор окна переднего плана (окна, с которым пользователь работает в данный момент). Другие вызовы API, относящиеся к процедуре обнаружения локальной группы: GetProcesses и GetForegroundWindow. API GetProcesses возвращает массив типа Process, содержащий информацию обо всех процессах, запущенных на локальном компьютере.

Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут пытаться получить список открытых окон приложений. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения системы и сети. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации.

Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса).

Аналитика 1. Подозрительные процессы

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") | where CommandLine LIKE "%Get-Process%" AND CommandLine LIKE "%mainWindowTitle%"