T1036.004: Маскировка задачи или службы
Злоумышленники могут пытаться придать легитимный вид имени задачи или службы. Задачи и службы, запускаемые Планировщиком заданий или подсистемой systemd, обычно имеют имя и (или) описание. Службы Windows имеют внутреннее и отображаемое имена. Существует множество легитимных задач и служб с общеизвестными именами. Злоумышленники могут давать своим задачам или службам имена, идентичные именам легитимных служб (или похожие на них).
Задания и службы имеют и другие поля (например, описание), которым злоумышленники могут попытаться придать легитимный вид.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени mitre_attck_command_and_control: PT-CR-2802: Subrule_SlothfulMedia_Execute_Request: DNS-запрос к ресурсу, используемому для связи c командным сервером трояна из семейства SlothfulMedia mitre_attck_command_and_control: PT-CR-2798: SlothfulMedia_Trojan: Целевая атака с помощью трояна семейства SlothfulMedia. Эти события свидетельствуют об использовании системы для удаленного администрирования. Злоумышленники могут использовать это ПО для перемещения внутри периметра и выгрузки конфиденциальных данных mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell mitre_attck_execution: PT-CR-344: Scheduled_Task_Manipulation: Пользователь создал, обновил или удалил задачу по расписанию
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых можно придать легитимный вид имени задачи или службы. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Метаданные запланированного задания | Описание | Отслеживайте контекстные данные запланированного задания, такие как имя, время запуска и команды. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Изменения в запланированном задании | Описание | Отслеживайте неожиданные изменения в запланированных заданиях, касающиеся их запуска. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Отслеживайте нетипичные изменения в именах, описаниях и (или) типах запуска служб. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте создание служб и демонов. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра. |
---|