T1036.004: Маскировка задачи или службы
Злоумышленники могут пытаться придать легитимный вид имени задачи или службы. Задачи и службы, запускаемые Планировщиком заданий или подсистемой systemd, обычно имеют имя и (или) описание. Службы Windows имеют внутреннее и отображаемое имена. Существует множество легитимных задач и служб с общеизвестными именами. Злоумышленники могут давать своим задачам или службам имена, идентичные именам легитимных служб (или похожие на них).
Задания и службы имеют и другие поля (например, описание), которым злоумышленники могут попытаться придать легитимный вид.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell
mitre_attck_execution: PT-CR-344: Scheduled_task_Manipulation: Пользователь создал, обновил или удалил задачу по расписанию
mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени
Способы обнаружения
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Monitor for changes made to services for unexpected modifications to names, descriptions, and/or start types |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may attempt to manipulate the name of a task or service to make it appear legitimate or benign. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Метаданные запланированного задания | Описание | Monitor for contextual data about a scheduled job, which may include information such as name, timing, command(s), etc. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Изменения в запланированном задании | Описание | Monitor for changes made to scheduled jobs for unexpected modifications to execution launch |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Monitor for newly constructed services/daemons. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities, such as network connections made for Command and Control, learning details about the environment through Discovery, and Lateral Movement. |
---|