T1036.004: Маскировка задачи или службы

Злоумышленники могут пытаться придать легитимный вид имени задачи или службы. Задачи и службы, запускаемые Планировщиком заданий или подсистемой systemd, обычно имеют имя и (или) описание. Службы Windows имеют внутреннее и отображаемое имена. Существует множество легитимных задач и служб с общеизвестными именами. Злоумышленники могут давать своим задачам или службам имена, идентичные именам легитимных служб (или похожие на них).

Задания и службы имеют и другие поля (например, описание), которым злоумышленники могут попытаться придать легитимный вид.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-344: Scheduled_Task_Manipulation: Пользователь создал, обновил или удалил задачу по расписанию mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени

Способы обнаружения

ID	DS0019	Источник и компонент данных	Служба: Метаданные службы	Описание	Отслеживайте нетипичные изменения в именах, описаниях и (или) типах запуска служб.

ID	DS0003	Источник и компонент данных	Запланированное задание: Изменения в запланированном задании	Описание	Отслеживайте неожиданные изменения в запланированных заданиях, касающиеся их запуска.

ID	DS0019	Источник и компонент данных	Служба: Создание службы	Описание	Отслеживайте создание служб и демонов. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, с помощью которых можно придать легитимный вид имени задачи или службы.

ID	DS0003	Источник и компонент данных	Запланированное задание: Метаданные запланированного задания	Описание	Отслеживайте контекстные данные запланированного задания, такие как имя, время запуска и команды.

ID	Источник и компонент данных	Описание
DS0019	Служба: Метаданные службы	Отслеживайте нетипичные изменения в именах, описаниях и (или) типах запуска служб.
DS0003	Запланированное задание: Изменения в запланированном задании	Отслеживайте неожиданные изменения в запланированных заданиях, касающиеся их запуска.
DS0019	Служба: Создание службы	Отслеживайте создание служб и демонов. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, с помощью которых можно придать легитимный вид имени задачи или службы.
DS0003	Запланированное задание: Метаданные запланированного задания	Отслеживайте контекстные данные запланированного задания, такие как имя, время запуска и команды.