Техника на mitre.org

T1027.004: Компиляция после доставки

Злоумышленники могут попытаться затруднить обнаружение и анализ полезной нагрузки, доставляя файлы жертвам в виде нескомпилированного кода. Текстовые файлы с исходным кодом могут не поддаваться анализу и проверке средствами защиты, нацеленными на обработку исполняемых и других бинарных файлов. Такие полезные нагрузки должны быть скомпилированы перед выполнением; обычно это делается с помощью нативных утилит, таких как csc.exe или GCC/MinGW.

Полезная нагрузка в виде исходного кода также может быть зашифрована, закодирована и (или) встроена в другие файлы — например, в файлы, доставляемые в рамках фишинговых атак. Полезная нагрузка также может доставляться в форматах, нераспознаваемых и в принципе безопасных для целевой ОС (например, EXE-файлы в macOS или Linux), а затем компилироваться или перекомпилироваться в исполняемый бинарный файл нужного формата с помощью прилагаемых компилятора и среды исполнения.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-942: Subrule_CSC_Start_And_File_Create: Запуск процесса csc.exe, родителем которого является процесс powershell.exe, и создание процессом библиотеки mitre_attck_defense_evasion: PT-CR-930: AMSI_Bypass_Via_Powershell: Использование методов обхода AMSI mitre_attck_defense_evasion: PT-CR-194: Csc_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows csc.exe (используется .NET для компиляции кода C#)

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения данных о работе распространенных компиляторов, таких как csc.exe и GCC/MinGW, и сопоставляйте их с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, связанных с обычным поведением пользователей и администраторов.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, используемых в качестве полезных нагрузок.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов и (или) выполнение командных строк, которые ищут ненативные бинарные файлы, кросс-платформенные компиляторы и среды выполнения, такие как Mono, и проверяйте их легитимность. Легитимные сценарии их использования ограничены, например они могут использоваться в процессе разработки ПО.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Отслеживайте контекстные данные файла, которые могут включать его имя, содержимое (подпись, заголовки, данные или встроенные объекты), имя пользователя/владельца, разрешения и другую информацию.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения данных о работе распространенных компиляторов, таких как csc.exe и GCC/MinGW, и сопоставляйте их с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, связанных с обычным поведением пользователей и администраторов.
DS0022	Файл: Создание файла	Отслеживайте создание файлов, используемых в качестве полезных нагрузок.
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов и (или) выполнение командных строк, которые ищут ненативные бинарные файлы, кросс-платформенные компиляторы и среды выполнения, такие как Mono, и проверяйте их легитимность. Легитимные сценарии их использования ограничены, например они могут использоваться в процессе разработки ПО.
DS0022	Файл: Метаданные файла	Отслеживайте контекстные данные файла, которые могут включать его имя, содержимое (подпись, заголовки, данные или встроенные объекты), имя пользователя/владельца, разрешения и другую информацию.