T1014: Руткит
Злоумышленники могут использовать руткиты для скрытия программ, файлов, сетевых подключений, служб, драйверов и других компонентов системы. Руткиты — это программы, которые скрывают существование вредоносного ПО путем перехвата и модификации API-вызовов операционной системы, предоставляющих информацию о системе .
Руткиты или функциональные возможности, позволяющие использовать руткиты, могут работать на уровне пользователя или ядра операционной системы либо на более низком уровне — например, гипервизора, главной загрузочной записи или прошивки системы . Известны руткиты для систем на базе Windows, Linux и macOS .
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
| ID | DS0001 | Источник и компонент данных | Прошивка: Изменение прошивки | Описание | Отслеживайте изменения в прошивке на предмет появления неожиданных модификаций настроек и (или) данных, которые могут использоваться руткитами для скрытия программ, файлов, сетевых соединений, служб, драйверов и других компонентов системы. Некоторые средства защиты от руткитов могут быть встроены в антивирусное ПО или в операционную систему. Существуют специальные инструменты обнаружения руткитов, выявляющие определенные типы их поведения. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте наличие неопознанных библиотек DLL, драйверов, устройств, служб и MBR, а также вносимые в них изменения . |
|---|
| ID | DS0016 | Источник и компонент данных | Накопитель: Изменения в накопителе | Описание | Отслеживайте изменения в буквах диска или точках подключения устройств хранения данных на предмет появления неожиданных модификаций, которые могут использоваться руткитами для скрытия программ, файлов, сетевых соединений, служб, драйверов и других компонентов системы. |
|---|