T1036.003: Переименование системных утилит
Злоумышленники могут переименовывать легитимные системные утилиты, пытаясь обойти защитные механизмы, контролирующие использование этих утилит. Системные утилиты, которыми могут воспользоваться злоумышленники, могут быть защищены механизмами мониторинга и контроля безопасности . Чтобы обойти эти механизмы защиты, утилита (например, rundll32.exe
) может быть переименована перед использованием . Еще один случай — легитимная утилита может быть скопирована или перемещена в другой каталог и там переименована, чтобы предотвратить обнаружение ситуации, когда системная утилита запускается из нестандартного расположения .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-347: Copied_or_Renamed_Executable: Пользователь запустил подозрительный процесс, описание которого похоже на описание другого процесса
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Метаданные процесса | Описание | Monitor for file names that are mismatched between the file name on disk and that of the binary's PE metadata, this is a likely indicator that a binary was renamed after it was compiled. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may rename legitimate system utilities to try to evade security mechanisms concerning the usage of those utilities. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to files for unexpected modifications to file names that are mismatched between the file name on disk and that of the binary's PE metadata. This is a likely indicator that a binary was renamed after it was compiled. Note: There are no standard Windows events for file modification. However, Event ID 4663 (An attempt was made to access an object) can be used to audit and alert on attempts to access system utility binaries; the “Accesses” field can be used to filter by type of access (e.g., MODIFY vs DELETE). |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Collecting and comparing disk and resource filenames for binaries by looking to see if the InternalName, OriginalFilename, and/or ProductName match what is expected could provide useful leads, but may not always be indicative of malicious activity. |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Use file system access controls to protect folders such as C:\Windows\System32. |
---|