MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1059.003: Командная оболочка Windows

Злоумышленники могут использовать для выполнения вредоносного кода командную оболочку Windows. Командная оболочка Windows (cmd) — основной интерфейс командной строки в системах на базе Windows. Командная строка Windows может использоваться для управления почти всеми аспектами системы; для выполнения команд определенных групп требуются соответствующие уровни разрешений. Командная строка может быть вызвана удаленно с использованием служб удаленного доступа, таких как SSH.

Пакетные файлы (например, файлы .bat или .cmd) также предоставляют оболочке последовательность команд для выполнения, которая может содержать такие типичные для сценариев конструкции, как условные переходы и циклы. Пакетные файлы обычно используются для выполнения объемных или повторяющихся задач или в случаях, когда необходимо запустить одну и ту же последовательность команд на нескольких системах.

Злоумышленники могут использовать cmd для выполнения различных команд и запуска полезных нагрузок. Обычное использование командной оболочки включает обращение к cmd для выполнения одиночной команды или использование cmd в интерактивном режиме с передачей входных и выходных данных через канал связи с командным сервером.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

it_bastion: PT-CR-2184: SKDPUNT_Blacklisted_Command: Выполнена команда из черного списка
mitre_attck_execution: PT-CR-339: Script_Files_Execution: Пользователь попытался запустить скрипт
mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell
mitre_attck_cred_access: PT-CR-567: ProcDump_Usage: Информация процесса LSASS сохранена с помощью утилиты ProcDump
mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger)
mitre_attck_execution: PT-CR-645: Recon_via_Webserver_Process: Пользователь запустил процесс от родительского процесса
hacking_tools: PT-CR-373: SharpWMI_Usage: Обнаружено возможное использование программного обеспечения SharpWMI
hacking_tools: PT-CR-374: Sliver_Shell_Usage: Обнаружено возможное использование программного обеспечения Sliver Shell
mitre_attck_collection: PT-CR-500: Documents_Access_via_Console: Взаимодействие с документами Office через cmd.exe или PowerShell
hacking_tools: PT-CR-586: Metasploit_Payload: Обнаружено возможное исполнение полезной нагрузки Metasploit
hacking_tools: PT-CR-588: Windows_Hacktool_Usage: Обнаружено возможное использование утилит для анализа защищенности систем Windows
mitre_attck_execution: PT-CR-1756: PowerShdll_Usage: Запуск утилиты PowerShdll
mitre_attck_defense_evasion: PT-CR-1088: Devinit_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью утилиты Microsoft Visual Studio devinit.exe (входит в состав SDK для Visual Studio)
mitre_attck_execution: PT-CR-1089: DotNetToJScript_Usage: Обнаружено возможное использование утилиты DotNetToJscript
mitre_attck_lateral_movement: PT-CR-1370: Remote_Execution_via_Custom_Impacket: Перемещение внутри периметра с помощью исполнения кода через протокол SMB (с помощью утилиты, созданной на основе инструмента Impacket)
mitre_attck_lateral_movement: PT-CR-1374: Impacket_Like_Execution: Паттерны выполнения сценариев, созданных на основе инструмента Impacket
mitre_attck_lateral_movement: PT-CR-227: RDP_Session_Hijacking: Обнаружен запуск утилиты "tscon", позволяющий выполнить перехват сеанса RDP
mitre_attck_impact: PT-CR-497: Shadow_Copies_Deletion_with_Builtin_Tools: Обнаружение попыток удалить теневые копии данных, необходимых для восстановления Windows
mitre_attck_impact: PT-CR-501: Stop_Important_Service: Попытка остановить важную службу
mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender
mitre_attck_lateral_movement: PT-CR-787: RDP_Shadow_Session_Initiation: Обнаружен запуск утилиты mstsc.exe с флагом /shadow для создания теневого RDP-подключения
mitre_attck_execution: PT-CR-223: Code_Execution_Via_JDK_Tools: Обнаружена попытка выполнить код с помощью инструментов Java
mitre_attck_execution: PT-CR-2300: Windows_Path_Traversal: Попытка атаки "Обход каталога" (Path Traversal). Злоумышленники используют эту атаку в командной строке Windows для получения несанкционированного доступа к файлам в системе
mitre_attck_execution: PT-CR-316: LOLBin_Copying: Обнаружена попытка скопировать системное приложение
mitre_attck_execution: PT-CR-340: Execute_Malicious_Command: Обнаружена попытка выполнить потенциально опасную команду
mitre_attck_collection: PT-CR-1012: Export_Certs: Попытка экспорта сертификатов или ключевых контейнеров
postgresql_database: PT-CR-1899: PostgreSQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии
postgresql_database: PT-CR-1902: PostgreSQL_File_System_Actions: Взаимодействие базы данных PostgreSQL с файловой системой может свидетельствовать о разведке или попытках злоумышленника повысить привилегии в том случае, если это не штатная интеграция базы данных с внешними системами
postgresql_database: PT-CR-1903: Subrule_PostgreSQL_Create_Process: Порождение подпроцессов процесcа базы данных PostgreSQL
mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item
mitre_attck_defense_evasion: PT-CR-1776: Browser_LOLBin: Запуск процесса с помощью доверенного ПО
microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM
mitre_attck_defense_evasion: PT-CR-1861: Firewall_Modify: Попытка изменить конфигурацию брандмауэра Windows
mitre_attck_execution: PT-CR-1962: Remote_Registry_Enable: Возможный запуск службы "Удаленный реестр", позволяющей удаленно изменить значения ключей реестра Windows, что может быть использовано для перемещения внутри периметра
mitre_attck_execution: PT-CR-207: Suspicious_Wmic_Command: Обнаружена попытка использовать утилиту "wmic", чтобы совершить подозрительные действия
mitre_attck_execution: PT-CR-209: Execute_Suspicious_Command_via_cmd: Запуск процесса "Сmd" с потенциально опасными аргументами
it_bastion: PT-CR-2171: SKDPUNT_Suspicious_Command: Пользователь выполнил потенциально опасную команду
it_bastion: PT-CR-2177: SKDPUNT_Potentially_Dangerous_Command: Использованы потенциально опасные команды
hacking_tools: PT-CR-759: SharpMapExec_Usage: Обнаружено возможное использование утилиты SharpMapExec
hacking_tools: PT-CR-839: SharPersist_Usage: Обнаружено возможное использование утилиты SharPersist
hacking_tools: PT-CR-840: SharpKatz_Usage: Обнаружены признаки использования программного обеспечения SharpKatz
hacking_tools: PT-CR-1852: PPLBlade_cmdline: Возможное использование ПО PPLBlade, предназначенного для скрытого дампа памяти процесса LSASS
mitre_attck_defense_evasion: PT-CR-938: PowerShell_CLM_Bypass: Попытка обхода языкового режима PowerShell ConstrainedLanguage
mitre_attck_defense_evasion: PT-CR-940: SharpEventPersist_Usage: Запуск утилиты SharpEventPersist, используемой для закрепления в системе
mitre_attck_defense_evasion: PT-CR-946: Suspicious_Execution_via_Regsvr32: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL)
mitre_attck_execution: PT-CR-954: Tttracer_LOLBin: Обход средств защиты с помощью tttracer.exe
hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя
sap_suspicious_user_activity: PT-CR-254: SAPASABAP_GW_Sapxpg_call: Запуск SAPXPG
mitre_attck_persistence: PT-CR-264: Add_new_user_in_commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell
mitre_attck_persistence: PT-CR-271: Service_Created_or_Modified: Обнаружена попытка выполнить операции со службами Microsoft Windows через командную строку или PowerShell
hacking_tools: PT-CR-369: Mimikatz_Command: Обнаружено возможное использование программного обеспечения Mimikatz
hacking_tools: PT-CR-370: NetCat_Usage: Обнаружено возможное использование программного обеспечения NetCat, Socat или Powercat
hacking_tools: PT-CR-371: Rubeus_Usage: Обнаружено возможное использование программного обеспечения Rubeus
hacking_tools: PT-CR-372: SharpSploit_Usage: Обнаружено возможное использование программного обеспечения SharpSploit
mitre_attck_persistence: PT-CR-568: IIS_Native_Module_Installation: Обнаружена попытка установить модуль расширения Internet Information Services с помощью утилиты аppcmd.exe
mitre_attck_defense_evasion: PT-CR-194: Csc_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows csc.exe (используется .NET для компиляции кода C#)
mitre_attck_defense_evasion: PT-CR-195: InstallUtil_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows installutil.exe (утилита командной строки, которая позволяет устанавливать и удалять ресурсы сервера, запуская компоненты установщика в указанных сборках)
mitre_attck_defense_evasion: PT-CR-196: MSBuild_AWL_Bypass: Попытка обойти запрет на запуск приложений c помощью утилиты .NET Framework msbuild.exe (используется для компиляции и выполнения кода)
mitre_attck_defense_evasion: PT-CR-197: RegAsm_or_RegSvcs_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regasm.exe (средство регистрации сборок) или regsvcs.exe (программа установки служб .NET)
mitre_attck_defense_evasion: PT-CR-198: Regsvr32_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL)
mitre_attck_defense_evasion: PT-CR-199: Rundll32_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows rundll32.exe (используется для выполнения файлов DLL)
mitre_attck_defense_evasion: PT-CR-201: Cmstp_AWL_Bypass: Попытка обойти контроль учетных записей (UAC) или запрет на запуск приложения с помощью встроенной утилиты Microsoft Windows cmstp.exe (устанавливает или удаляет профиль службы диспетчера подключений)
mitre_attck_defense_evasion: PT-CR-203: BitsJob_Download_and_Run: Обнаружена попытка загрузить или запустить приложение при помощи средства командной строки Microsoft Windows "bitsadmin"
mitre_attck_defense_evasion: PT-CR-204: MSHTA_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mshta.exe (используется для выполнения HTML-приложений (.hta))
mitre_attck_defense_evasion: PT-CR-208: XSL_Script_WMIC_Execution: Обнаружена попытка запустить сценарии XSL с помощью утилиты "wmic"
mitre_attck_defense_evasion: PT-CR-337: Msiexec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msiexec.exe (используется для выполнения файлов MSI)
mitre_attck_defense_evasion: PT-CR-338: MSXSL_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msxsl.exe (утилита командной строки для преобразования XSL)
mitre_attck_defense_evasion: PT-CR-454: Dnscmd_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows dnscmd.exe (интерфейс командной строки для управления DNS-серверами)
mitre_attck_defense_evasion: PT-CR-455: Mavinject_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mavinject.exe (предоставляется клиентом App-V)
mitre_attck_defense_evasion: PT-CR-456: Odbcconf_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows odbcconf.exe (используется для управления соединениями ODBC)
mitre_attck_defense_evasion: PT-CR-457: Pcalua_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows pcalua.exe (помощник по совместимости программ)
mitre_attck_defense_evasion: PT-CR-603: IEExec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows ieexec.exe (недокументированное приложение Microsoft .NET Framework, которое можно использовать для запуска других управляемых приложений, запускаемых с помощью URL-адреса)
mitre_attck_defense_evasion: PT-CR-652: WDAC_Bypass_via_Dbgsrv: Пользователь запустил отладчик приложений
mitre_attck_cred_access: PT-CR-298: Access_System_Credential_files_via_cmdline: Обнаружена попытка получить учетные данные пользователей операционной системы
mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory
mssql_database: PT-CR-423: MSSQL_system_command_usage: Попытка выполнить системную команду с помощью хранимой процедуры
pt_application_firewall: PT-CR-1906: PTAF_Command_Injection_Detected: Приложение PT AF обнаружило внедрение команд ОС
pt_application_firewall: PT-CR-1915: PTAF_Hacktool_Detected: Приложение PT AF обнаружило признаки использования вредоносной утилиты

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes that may abuse the Windows command shell for execution.

Note: Try an Analytic by creating a baseline of parent processes of cmd seen over the last 30 days and a list of parent processes of cmd seen today. Parent processes in the baseline are removed from the set of parent processes seen today, leaving a list of new parent processes. This analytic attempts to identify suspicious programs spawning cmd by looking for programs that do not normally create cmd.  It is very common for some programs to spawn cmd as a subprocess, for example to run batch files or Windows commands. However, many processes don’t routinely launch a command prompt - e.g., Microsoft Outlook. A command prompt being launched from a process that normally doesn’t launch command prompts could be the result of malicious code being injected into that process, or of an attacker replacing a legitimate program with a malicious one.

Analytic 1 - Unusual Command Execution

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND CommandLine=“cmd.exe” AND (CommandLine REGEXP "./c." OR CommandLine REGEXP ".._ /k.*")

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may abuse the Windows command shell for execution. Usage of the Windows command shell may be common on administrator, developer, or power user systems depending on job function. If scripting is restricted for normal users, then any attempt to enable scripts running on a system would be considered suspicious. If scripts are not commonly used on a system, but enabled, scripts running out of cycle from patching or other administrator functions are suspicious. Scripts should be captured from the file system when possible to determine their actions and intent.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Use application control where appropriate.