MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1036.004: Маскировка задачи или службы

Злоумышленники могут пытаться придать легитимный вид имени задачи или службы. Задачи и службы, запускаемые Планировщиком заданий или подсистемой systemd, обычно имеют имя и (или) описание. Службы Windows имеют внутреннее и отображаемое имена. Существует множество легитимных задач и служб с общеизвестными именами. Злоумышленники могут давать своим задачам или службам имена, идентичные именам легитимных служб (или похожие на них).

Задания и службы имеют и другие поля (например, описание), которым злоумышленники могут попытаться придать легитимный вид.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell
mitre_attck_execution: PT-CR-344: Scheduled_task_Manipulation: Пользователь создал, обновил или удалил задачу по расписанию
mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени

Способы обнаружения

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Monitor for changes made to services for unexpected modifications to names, descriptions, and/or start types

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may attempt to manipulate the name of a task or service to make it appear legitimate or benign.

IDDS0003Источник и компонент данныхЗапланированное задание: Метаданные запланированного заданияОписание

Monitor for contextual data about a scheduled job, which may include information such as name, timing, command(s), etc.

IDDS0003Источник и компонент данныхЗапланированное задание: Изменения в запланированном заданииОписание

Monitor for changes made to scheduled jobs for unexpected modifications to execution launch

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Monitor for newly constructed services/daemons. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities, such as network connections made for Command and Control, learning details about the environment through Discovery, and Lateral Movement.