T1057: Изучение процессов

Злоумышленники могут попытаться получить информацию о запущенных в системе процессах. Полученная информация может быть использована для понимания того, какие типичные программы и приложения используются на системах в сети. Доступ с повышенными правами или на уровне администратора позволит получить больше подробной информации о процессах. Злоумышленники могут использовать информацию, полученную при изучении процессов в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.

В средах Windows злоумышленники могут получить подробную информацию о запущенных процессах с помощью утилиты tasklist через cmd или используя командлет Get-Process в PowerShell. Информацию о процессах можно также извлечь из данных, возвращаемых вызовами таких функций нативного API, как CreateToolhelp32Snapshot. На компьютерах Mac и в Linux-системах данные о процессах можно получить при помощи команды ps. Злоумышленники также могут составить перечень процессов с помощью файловой системы /proc.

На сетевых устройствах текущие запущенные процессы отображаются такими командами интерпретаторов командной строки сетевых устройств, как 'show processes'.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_discovery: PT-CR-1688: Unix_Process_Discovery: Получение информации о запущенных процессах unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-328: Process_Discovery: Обнаружена попытка получить список процессов, запущенных в системе

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о запущенных в системе процессах. Для эффективной классификации вредоносной и безопасной активности необходимо извлечь полную командную строку. Информация о родительском процессе также позволяет упростить принятие решений и адаптировать средства безопасности к защищаемой среде.

Поскольку эти команды являются встроенными, их могут часто использовать как опытные, так и обычные пользователи. Поэтому при использовании аналитики для поиска этой информации следует пользоваться строго определенными списками разрешенных и запрещенных процессов; по возможности используйте подход к обнаружению аномалий, позволяющий получать эту информацию динамически. Могут использоваться следующие встроенные команды Windows:

  • hostname
  • ipconfig
  • net
  • quser
  • qwinsta
  • sc с флагами query, queryex и qc
  • systeminfo
  • tasklist
  • dsquery
  • whoami Примечание. Для эффективного выявления вредоносной и безопасной активности необходимо извлечь полную командную строку. Информация о родительском процессе также позволяет упростить принятие решений и адаптировать аналитику к защищаемой среде.

Аналитика 1. Команды для изучения узла

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (Image="C:\Windows\\hostname.exe" OR Image="C:\Windows\\ipconfig.exe" OR Image="C:\Windows\\net.exe" OR Image="C:\Windows\\quser.exe" OR Image="C:\Windows\\qwinsta.exe" OR (Image="C:\Windows\\sc.exe" AND (CommandLine="* query " OR CommandLine=" qc ")) OR Image="C:\Windows\\systeminfo.exe" OR Image="C:\Windows\\tasklist.exe" OR Image="C:\Windows\\whoami.exe")|stats values(Image) as "Images" values(CommandLine) as "Command Lines" by ComputerName

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых злоумышленники могут попытаться получить информацию о запущенных в системе процессах.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения информации о запущенных в системе процессах.