T1036.004: Маскировка задачи или службы

Злоумышленники могут пытаться придать легитимный вид имени задачи или службы. Задачи и службы, запускаемые Планировщиком заданий или подсистемой systemd, обычно имеют имя и (или) описание. Службы Windows имеют внутреннее и отображаемое имена. Существует множество легитимных задач и служб с общеизвестными именами. Злоумышленники могут давать своим задачам или службам имена, идентичные именам легитимных служб (или похожие на них).

Задания и службы имеют и другие поля (например, описание), которым злоумышленники могут попытаться придать легитимный вид.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени mitre_attck_command_and_control: PT-CR-2802: Subrule_SlothfulMedia_Execute_Request: DNS-запрос к ресурсу, используемому для связи c командным сервером трояна из семейства SlothfulMedia mitre_attck_command_and_control: PT-CR-2798: SlothfulMedia_Trojan: Целевая атака с помощью трояна семейства SlothfulMedia. Эти события свидетельствуют об использовании системы для удаленного администрирования. Злоумышленники могут использовать это ПО для перемещения внутри периметра и выгрузки конфиденциальных данных mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell mitre_attck_execution: PT-CR-344: Scheduled_Task_Manipulation: Пользователь создал, обновил или удалил задачу по расписанию

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, с помощью которых можно придать легитимный вид имени задачи или службы.

IDDS0003Источник и компонент данныхЗапланированное задание: Метаданные запланированного заданияОписание

Отслеживайте контекстные данные запланированного задания, такие как имя, время запуска и команды.

IDDS0003Источник и компонент данныхЗапланированное задание: Изменения в запланированном заданииОписание

Отслеживайте неожиданные изменения в запланированных заданиях, касающиеся их запуска.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Отслеживайте нетипичные изменения в именах, описаниях и (или) типах запуска служб.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте создание служб и демонов. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра.