MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1036: Маскировка

Злоумышленники могут пытаться манипулировать характеристиками своих артефактов, чтобы они выглядели легитимными или безопасными для пользователей и (или) средств защиты. Маскировка происходит, когда именем или местоположением объекта (легитимного или вредоносного) манипулируют для того, чтобы обойти средства защиты и наблюдения. Это может включать в себя манипуляции с метаданными файлов, введение в заблуждение пользователей с тем, чтобы они не смогли правильно определять тип файла, а также присвоение легитимных имен задачам или службам.

Переименование системных утилит, используемых во вредоносных целях, для обхода средств контроля безопасности также является формой маскировки.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1477: Run_Executable_File_without_Meta: Запуск пользователем исполняемого файла процесса с отсутствующей метаинформацией
mitre_attck_defense_evasion: PT-CR-647: Run_Masquerading_Executable_File: Запуск пользователем исполняемого файла процесса без расширения

Подтехники

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте необычные изменения в именах файлов, которые вызывают несоответствие между именами на диске и в метаданных PE соответствующих бинарных файлов. Подобные изменения с большой вероятностью указывают на то, что бинарный файл был переименован после компиляции.

Примечание. По умолчанию в Windows нет событий, регистрирующих изменение файлов. Но событие с ИД 4663 (попытка получения доступа к объекту) можно использовать для аудита и уведомления о попытках доступа к бинарным файлам системных утилит. Поле "Accesses" можно использовать для фильтрации по типам доступа (например, MODIFY или DELETE).

IDDS0009Источник и компонент данныхПроцесс: Метаданные процессаОписание

Отслеживайте на диске файлы, имена которых не соответствуют метаданным PE, так как это с большой вероятностью указывает на то, что бинарный файл был переименован после компиляции.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте недавно созданные службы и демоны. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности, например, подключению к командному серверу, изучению окружения посредством соответствующих техник и перемещению внутри периметра.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Отслеживайте нетипичные изменения в именах, описаниях и (или) типах запуска служб.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте аномальное создание фоновых процессов, а также запуск процессов из нетипичных расположений, например /dev/shm.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Собирайте и анализируйте метаданные сертификатов подписи, проверяйте, действительны ли подписи программ, выполняемых в среде, и обращайте внимание на недействительные подписи и нетипичные особенности сертификатов.

IDDS0003Источник и компонент данныхЗапланированное задание: Изменения в запланированном заданииОписание

Отслеживайте неожиданные изменения в запланированных заданиях, касающиеся их запуска.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования легитимных системных утилит с целью обхода защитных механизмов, контролирующих использование этих утилит.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте такие вызовы API, как fork(), которые могут использоваться для маскировки или изменения метаданных процесса.

IDDS0007Источник и компонент данныхОбраз: Метаданные образаОписание

Сбор и сравнение имен бинарных файлов на диске и в ресурсах и последующее сравнение значений InternalName, OriginalFilename и (или) ProductName с ожидаемыми могут принести полезную информацию, но несоответствие этих значений не всегда свидетельствует о вредоносной активности .

IDDS0003Источник и компонент данныхЗапланированное задание: Метаданные запланированного заданияОписание

Отслеживайте контекстные данные запланированного задания, такие как имя, время запуска и команды.

В Windows для оповещения о создании запланированных заданий можно использовать событие журнала безопасности с идентификатором 4698 (создано запланированное задание), которое содержит метаданные, включая имя задания и его содержимое (в формате XML).

В Linux для оповещений о вызове cron можно использовать механизмы аудита, например систему аудита Linux (auditd), которая предоставляет метаданные, включаемые при выполнении команды.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Научите пользователей обращать внимание на двойные расширения в именах файлов и в целом повышайте их осведомленность о распространенных техниках фишинга и целевого фишинга, а также о том, как распознавать потенциально вредоносные действия.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Используйте элементы управления доступом к файловой системе для защиты таких папок, как C:\Windows\System32.

IDM1038НазваниеЗащита от выполненияОписание

Используйте инструменты, ограничивающие выполнение программ через управление приложениями по атрибутам, отличным от имени файла, для распространенных необходимых утилит операционной системы.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Внедрите средства контроля безопасности на конечной точке, такие как система предотвращения вторжений на хост (HIPS), для выявления и предотвращения выполнения потенциально вредоносных файлов (например, файлов с несовпадающими подписями).

IDM1045НазваниеПодпись исполняемого кодаОписание

Требуйте подписанные бинарные файлы.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин.