T1036.005: Подбор легитимного имени или расположения

При именовании или размещении своих файлов злоумышленники могут использовать имена или пути, совпадающие с именами или расположением легитимных файлов или ресурсов. Это делается для обхода средств защиты и наблюдения. Для этого исполняемый файл может быть помещен в общеизвестный легитимный каталог (например, в System32) либо файлу может быть присвоено имя легитимной программы (например, svchost.exe). В контейнерных средах для этого также может быть создан ресурс в пространстве имен, которое соответствует соглашению об именовании контейнерных модулей или кластеров. Кроме того, имя, даваемое файлу или образу контейнера, может быть похоже на имя легитимной программы или легитимного образа либо выглядеть нейтрально.

Злоумышленники также могут использовать значок файла, который они пытаются имитировать.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-1908: Execute_Over_WER_Service: Злоумышленники могут воспользоваться уязвимостью службы WER, которая позволяет подменить исполняемый файл и запустить файл злоумышленников с системными привилегиями mitre_attck_defense_evasion: PT-CR-1209: Hijack_Load_Path_Library: Обнаружена подгрузка библиотек, путь которых замаскирован под легитимный и содержит "/windows/system32/ mitre_attck_defense_evasion: PT-CR-930: AMSI_Bypass_Via_Powershell: Использование методов обхода AMSI mitre_attck_defense_evasion: PT-CR-641: Abnormal_Directory_For_Process: Исполняемый файл запущен из подозрительного каталога unix_mitre_attck_defense_evasion: PT-CR-1072: Unix_Run_Process_From_Home_Directory: Запуск процесса из домашнего каталога пользователя

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Собирайте хеши файлов: расхождения хешей с ожидаемыми для файлов свидетельствуют о подозрительной активности. Проводите мониторинг файлов. Файлы с известными именами, расположенные в нетипичных для них каталогах, стоит считать подозрительными. Файлы, измененные не во время обновления или исправления, также стоит считать подозрительными.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые при именовании или размещении файлов используют имена или пути, совпадающие с именами или расположением легитимных файлов или ресурсов либо напоминающие их. Отслеживайте несоответствия между именами процессов и путями к исполняемым файлам. Для маскировки вредоносных исполняемых файлов злоумышленники часто используют имена легитимных исполняемых файлов Windows (например, lsass.exe, svchost.exe и другие). Несмотря на существование нескольких подтехник, в данной аналитике рассматривается исключительно Подбор легитимного имени или расположения. Примечание. Отслеживайте процессы, соответствующие следующим критериям: имя процесса: svchost.exe, smss.exe, wininit.exe, taskhost.exe и аналогичные путь процесса отличается от C:\Windows\System32\ и C:\Windows\SysWow64\ Примеры истинноположительных результатов: C:\Users\administrator\svchost.exe Чтобы правило не пропускало случаи запуска исполняемых файлов из подпапок, расположенных в указанных каталогах, должен проверяться весь путь процесса. Следующий путь процесса должен рассматриваться как подозрительный: C:\Windows\System32\srv\svchost.exe Аналитика 1. Маскировка с использованием имен стандартных процессов Windows (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND ( (Image=svchost.exe AND (image_path!="C:\Windows\System32\svchost.exe" OR process_path!="C:\Windows\SysWow64\svchost.exe")) OR (Image="*smss.exe" AND image_path!="C:\Windows\System32\smss.exe") OR (Image="wininit.exe" AND image_path!="C:\Windows\System32\wininit.exe") OR (Image="taskhost.exe" AND image_path!="C:\Windows\System32\taskhost.exe") OR (Image="lasass.exe" AND image_path!="C:\Windows\System32\lsass.exe") OR (Image="winlogon.exe" AND image_path!="C:\Windows\System32\winlogon.exe") OR (Image="csrss.exe" AND image_path!="C:\Windows\System32\csrss.exe") OR (Image="services.exe" AND image_path!="C:\Windows\System32\services.exe") OR (Image="lsm.exe" AND image_path!="C:\Windows\System32\lsm.exe") OR (Image="explorer.exe" AND image_path!="C:\Windows\explorer.exe")

ID	DS0007	Источник и компонент данных	Образ: Метаданные образа	Описание	В контейнерных средах для сравнения образов используйте идентификаторы образов и хеши слоев, а не только их имена. Отслеживайте неожиданное создание новых ресурсов в кластере Kubernetes, особенно тех, которые создаются необычными пользователями.

ID	DS0009	Источник и компонент данных	Процесс: Метаданные процесса	Описание	Сбор и сравнение имен бинарных файлов на диске и в ресурсах и последующее сравнение значений InternalName, OriginalFilename и (или) ProductName с ожидаемыми могут служить источником полезной информации, но несоответствие этих значений не всегда свидетельствует о вредоносной активности.

ID	Источник и компонент данных	Описание
DS0022	Файл: Метаданные файла	Собирайте хеши файлов: расхождения хешей с ожидаемыми для файлов свидетельствуют о подозрительной активности. Проводите мониторинг файлов. Файлы с известными именами, расположенные в нетипичных для них каталогах, стоит считать подозрительными. Файлы, измененные не во время обновления или исправления, также стоит считать подозрительными.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые при именовании или размещении файлов используют имена или пути, совпадающие с именами или расположением легитимных файлов или ресурсов либо напоминающие их. Отслеживайте несоответствия между именами процессов и путями к исполняемым файлам. Для маскировки вредоносных исполняемых файлов злоумышленники часто используют имена легитимных исполняемых файлов Windows (например, lsass.exe, svchost.exe и другие). Несмотря на существование нескольких подтехник, в данной аналитике рассматривается исключительно Подбор легитимного имени или расположения. Примечание. Отслеживайте процессы, соответствующие следующим критериям: имя процесса: svchost.exe, smss.exe, wininit.exe, taskhost.exe и аналогичные путь процесса отличается от C:\Windows\System32\ и C:\Windows\SysWow64\ Примеры истинноположительных результатов: C:\Users\administrator\svchost.exe Чтобы правило не пропускало случаи запуска исполняемых файлов из подпапок, расположенных в указанных каталогах, должен проверяться весь путь процесса. Следующий путь процесса должен рассматриваться как подозрительный: C:\Windows\System32\srv\svchost.exe Аналитика 1. Маскировка с использованием имен стандартных процессов Windows (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND ( (Image=svchost.exe AND (image_path!="C:\Windows\System32\svchost.exe" OR process_path!="C:\Windows\SysWow64\svchost.exe")) OR (Image="*smss.exe" AND image_path!="C:\Windows\System32\smss.exe") OR (Image="wininit.exe" AND image_path!="C:\Windows\System32\wininit.exe") OR (Image="taskhost.exe" AND image_path!="C:\Windows\System32\taskhost.exe") OR (Image="lasass.exe" AND image_path!="C:\Windows\System32\lsass.exe") OR (Image="winlogon.exe" AND image_path!="C:\Windows\System32\winlogon.exe") OR (Image="csrss.exe" AND image_path!="C:\Windows\System32\csrss.exe") OR (Image="services.exe" AND image_path!="C:\Windows\System32\services.exe") OR (Image="lsm.exe" AND image_path!="C:\Windows\System32\lsm.exe") OR (Image="explorer.exe" AND image_path!="C:\Windows\explorer.exe")
DS0007	Образ: Метаданные образа	В контейнерных средах для сравнения образов используйте идентификаторы образов и хеши слоев, а не только их имена. Отслеживайте неожиданное создание новых ресурсов в кластере Kubernetes, особенно тех, которые создаются необычными пользователями.
DS0009	Процесс: Метаданные процесса	Сбор и сравнение имен бинарных файлов на диске и в ресурсах и последующее сравнение значений InternalName, OriginalFilename и (или) ProductName с ожидаемыми могут служить источником полезной информации, но несоответствие этих значений не всегда свидетельствует о вредоносной активности.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Используйте элементы управления доступом к файловой системе для защиты таких папок, как C:\Windows\System32.

ID	M1038	Название	Защита от выполнения	Описание	Используйте инструменты, ограничивающие выполнение программ через управление приложениями по атрибутам, отличным от имени файла, для распространенных необходимых утилит операционной системы.

ID	M1045	Название	Подпись исполняемого кода	Описание	Используйте только подписанные бинарные файлы и образы.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Используйте элементы управления доступом к файловой системе для защиты таких папок, как C:\Windows\System32.
M1038	Защита от выполнения	Используйте инструменты, ограничивающие выполнение программ через управление приложениями по атрибутам, отличным от имени файла, для распространенных необходимых утилит операционной системы.
M1045	Подпись исполняемого кода	Используйте только подписанные бинарные файлы и образы.