T1057: Изучение процессов
Злоумышленники могут попытаться получить информацию о запущенных в системе процессах. Полученная информация может быть использована для понимания того, какие типичные программы и приложения используются на системах в сети. Доступ с повышенными правами или на уровне администратора позволит получить больше подробной информации о процессах. Злоумышленники могут использовать информацию, полученную при изучении процессов в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
В средах Windows злоумышленники могут получить подробную информацию о запущенных процессах с помощью утилиты tasklist через cmd или используя командлет Get-Process
в PowerShell. Информацию о процессах можно также извлечь из данных, возвращаемых вызовами таких функций нативного API, как CreateToolhelp32Snapshot
. На компьютерах Mac и в Linux-системах данные о процессах можно получить при помощи команды ps
. Злоумышленники также могут составить перечень процессов с помощью файловой системы /proc.
На сетевых устройствах текущие запущенные процессы отображаются такими командами интерпретаторов командной строки сетевых устройств, как 'show processes'.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_discovery: PT-CR-1688: Unix_Process_Discovery: Получение информации о запущенных процессах unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-328: Process_Discovery: Обнаружена попытка получить список процессов, запущенных в системе
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о запущенных в системе процессах. Для эффективной классификации вредоносной и безопасной активности необходимо извлечь полную командную строку. Информация о родительском процессе также позволяет упростить принятие решений и адаптировать средства безопасности к защищаемой среде. Поскольку эти команды являются встроенными, их могут часто использовать как опытные, так и обычные пользователи. Поэтому при использовании аналитики для поиска этой информации следует пользоваться строго определенными списками разрешенных и запрещенных процессов; по возможности используйте подход к обнаружению аномалий, позволяющий получать эту информацию динамически. Могут использоваться следующие встроенные команды Windows:
Аналитика 1. Команды для изучения узла
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых злоумышленники могут попытаться получить информацию о запущенных в системе процессах. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения информации о запущенных в системе процессах. |
---|