T1036.003: Переименование системных утилит

Злоумышленники могут переименовывать легитимные системные утилиты, пытаясь обойти защитные механизмы, контролирующие использование этих утилит. Системные утилиты, которыми могут воспользоваться злоумышленники, могут быть защищены механизмами мониторинга и контроля безопасности . Чтобы обойти эти механизмы защиты, утилита (например, rundll32.exe) может быть переименована перед использованием . Еще один случай — легитимная утилита может быть скопирована или перемещена в другой каталог и там переименована, чтобы предотвратить обнаружение ситуации, когда системная утилита запускается из нестандартного расположения .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-347: Copied_Or_Renamed_Executable: Пользователь запустил подозрительный процесс, описание которого похоже на описание другого процесса

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Метаданные процесса	Описание	Отслеживайте на диске файлы, имена которых не соответствуют метаданным PE, так как это с большой вероятностью указывает на то, что бинарный файл был переименован после компиляции.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте необычные изменения в именах файлов, которые вызывают несоответствие между именами на диске и в метаданных PE соответствующих бинарных файлов. Подобные изменения с большой вероятностью указывают на то, что бинарный файл был переименован после компиляции. Примечание. По умолчанию в Windows нет событий, регистрирующих изменение файлов. Но событие с идентификатором 4663 (попытка получения доступа к объекту) можно использовать для аудита и уведомления о попытках доступа к бинарным файлам системных утилит. Поле "Accesses" можно использовать для фильтрации по типам доступа (например, MODIFY или DELETE).

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования легитимных системных утилит с целью обхода защитных механизмов, контролирующих использование этих утилит.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Сбор и сравнение имен бинарных файлов на диске и в ресурсах и последующее сравнение значений InternalName, OriginalFilename и (или) ProductName с ожидаемыми могут служить источником полезной информации, но несоответствие этих значений не всегда свидетельствует о вредоносной активности.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Метаданные процесса	Отслеживайте на диске файлы, имена которых не соответствуют метаданным PE, так как это с большой вероятностью указывает на то, что бинарный файл был переименован после компиляции.
DS0022	Файл: Изменение файла	Отслеживайте необычные изменения в именах файлов, которые вызывают несоответствие между именами на диске и в метаданных PE соответствующих бинарных файлов. Подобные изменения с большой вероятностью указывают на то, что бинарный файл был переименован после компиляции. Примечание. По умолчанию в Windows нет событий, регистрирующих изменение файлов. Но событие с идентификатором 4663 (попытка получения доступа к объекту) можно использовать для аудита и уведомления о попытках доступа к бинарным файлам системных утилит. Поле "Accesses" можно использовать для фильтрации по типам доступа (например, MODIFY или DELETE).
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования легитимных системных утилит с целью обхода защитных механизмов, контролирующих использование этих утилит.
DS0022	Файл: Метаданные файла	Сбор и сравнение имен бинарных файлов на диске и в ресурсах и последующее сравнение значений InternalName, OriginalFilename и (или) ProductName с ожидаемыми могут служить источником полезной информации, но несоответствие этих значений не всегда свидетельствует о вредоносной активности.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Используйте элементы управления доступом к файловой системе для защиты таких папок, как C:\Windows\System32.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Используйте элементы управления доступом к файловой системе для защиты таких папок, как C:\Windows\System32.