T1036: Маскировка
Злоумышленники могут пытаться манипулировать характеристиками своих артефактов, чтобы они выглядели легитимными или безопасными для пользователей и (или) средств защиты. Маскировка происходит, когда именем или местоположением объекта (легитимного или вредоносного) манипулируют для того, чтобы обойти средства защиты и наблюдения. Это может включать в себя манипуляции с метаданными файлов, введение в заблуждение пользователей с тем, чтобы они не смогли правильно определять тип файла, а также присвоение легитимных имен задачам или службам.
Переименование системных утилит, используемых во вредоносных целях, для обхода средств контроля безопасности также является формой маскировки.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1477: Run_Executable_File_without_Meta: Запуск пользователем исполняемого файла процесса с отсутствующей метаинформацией
mitre_attck_defense_evasion: PT-CR-647: Run_Masquerading_Executable_File: Запуск пользователем исполняемого файла процесса без расширения
Подтехники
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте необычные изменения в именах файлов, которые вызывают несоответствие между именами на диске и в метаданных PE соответствующих бинарных файлов. Подобные изменения с большой вероятностью указывают на то, что бинарный файл был переименован после компиляции. Примечание. По умолчанию в Windows нет событий, регистрирующих изменение файлов. Но событие с ИД 4663 (попытка получения доступа к объекту) можно использовать для аудита и уведомления о попытках доступа к бинарным файлам системных утилит. Поле "Accesses" можно использовать для фильтрации по типам доступа (например, MODIFY или DELETE). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Метаданные процесса | Описание | Отслеживайте на диске файлы, имена которых не соответствуют метаданным PE, так как это с большой вероятностью указывает на то, что бинарный файл был переименован после компиляции. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте недавно созданные службы и демоны. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности, например, подключению к командному серверу, изучению окружения посредством соответствующих техник и перемещению внутри периметра. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Отслеживайте нетипичные изменения в именах, описаниях и (или) типах запуска служб. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте аномальное создание фоновых процессов, а также запуск процессов из нетипичных расположений, например |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Собирайте и анализируйте метаданные сертификатов подписи, проверяйте, действительны ли подписи программ, выполняемых в среде, и обращайте внимание на недействительные подписи и нетипичные особенности сертификатов. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Изменения в запланированном задании | Описание | Отслеживайте неожиданные изменения в запланированных заданиях, касающиеся их запуска. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования легитимных системных утилит с целью обхода защитных механизмов, контролирующих использование этих утилит. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте такие вызовы API, как |
---|
ID | DS0007 | Источник и компонент данных | Образ: Метаданные образа | Описание | Сбор и сравнение имен бинарных файлов на диске и в ресурсах и последующее сравнение значений InternalName, OriginalFilename и (или) ProductName с ожидаемыми могут принести полезную информацию, но несоответствие этих значений не всегда свидетельствует о вредоносной активности . |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Метаданные запланированного задания | Описание | Отслеживайте контекстные данные запланированного задания, такие как имя, время запуска и команды. В Windows для оповещения о создании запланированных заданий можно использовать событие журнала безопасности с идентификатором 4698 (создано запланированное задание), которое содержит метаданные, включая имя задания и его содержимое (в формате XML). В Linux для оповещений о вызове cron можно использовать механизмы аудита, например систему аудита Linux (auditd), которая предоставляет метаданные, включаемые при выполнении команды. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Научите пользователей обращать внимание на двойные расширения в именах файлов и в целом повышайте их осведомленность о распространенных техниках фишинга и целевого фишинга, а также о том, как распознавать потенциально вредоносные действия. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Используйте элементы управления доступом к файловой системе для защиты таких папок, как C:\Windows\System32. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Используйте инструменты, ограничивающие выполнение программ через управление приложениями по атрибутам, отличным от имени файла, для распространенных необходимых утилит операционной системы. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Внедрите средства контроля безопасности на конечной точке, такие как система предотвращения вторжений на хост (HIPS), для выявления и предотвращения выполнения потенциально вредоносных файлов (например, файлов с несовпадающими подписями). |
---|
ID | M1045 | Название | Подпись исполняемого кода | Описание | Требуйте подписанные бинарные файлы. |
---|
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин. |
---|