MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1036.003: Переименование системных утилит

Злоумышленники могут переименовывать легитимные системные утилиты, пытаясь обойти защитные механизмы, контролирующие использование этих утилит. Системные утилиты, которыми могут воспользоваться злоумышленники, могут быть защищены механизмами мониторинга и контроля безопасности . Чтобы обойти эти механизмы защиты, утилита (например, rundll32.exe) может быть переименована перед использованием . Еще один случай — легитимная утилита может быть скопирована или перемещена в другой каталог и там переименована, чтобы предотвратить обнаружение ситуации, когда системная утилита запускается из нестандартного расположения .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-347: Copied_or_Renamed_Executable: Пользователь запустил подозрительный процесс, описание которого похоже на описание другого процесса

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Метаданные процессаОписание

Monitor for file names that are mismatched between the file name on disk and that of the binary's PE metadata, this is a likely indicator that a binary was renamed after it was compiled.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may rename legitimate system utilities to try to evade security mechanisms concerning the usage of those utilities.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to files for unexpected modifications to file names that are mismatched between the file name on disk and that of the binary's PE metadata. This is a likely indicator that a binary was renamed after it was compiled.

Note: There are no standard Windows events for file modification. However, Event ID 4663 (An attempt was made to access an object) can be used to audit and alert on attempts to access system utility binaries; the “Accesses” field can be used to filter by type of access (e.g., MODIFY vs DELETE).

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Collecting and comparing disk and resource filenames for binaries by looking to see if the InternalName, OriginalFilename, and/or ProductName match what is expected could provide useful leads, but may not always be indicative of malicious activity.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Use file system access controls to protect folders such as C:\Windows\System32.