T1059.004: Командная оболочка Unix
Злоумышленники могут использовать для выполнения вредоносного кода команды и сценарии командной оболочки Unix. Командные оболочки Unix являются основным интерфейсом командной строки в системах на базе Linux и macOS, при этом существует множество вариаций командной оболочки Unix (например, sh, bash, zsh) для разных ОС и их версий. Командные оболочки Unix могут управлять всеми элементами системы; выполнение определенных команд требует повышенных привилегий.
Командные оболочки Unix также поддерживают сценарии, позволяющие выполнять последовательности команд и использовать такие типичные для программирования конструкции, как условные переходы и циклы. Сценарии командной оболочки обычно используются для выполнения объемных или повторяющихся задач или в случаях, когда необходимо выполнить одну и ту же последовательность команд на нескольких системах.
Злоумышленники могут использовать командные оболочки Unix для выполнения различных команд и запуска полезных нагрузок. Доступ к интерактивным командным оболочкам может осуществляться через канал связи с командным сервером или при перемещении внутри периметра, как в случае с SSH. Злоумышленники также могут использовать сценарии командной оболочки для доставки на зараженные системы последовательностей команд и их дальнейшего выполнения или как часть полезной нагрузки, используемую для закрепления в системе.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_Via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов solaris_suspicious_network_activity: PT-CR-552: Solaris_Detect_Run_Reverse_Shell_By_Something: Использование reverse shell при помощи сторонних утилит solaris_suspicious_network_activity: PT-CR-545: Solaris_Detect_Bind_Shell: Обнаружено внешнее подключение к bind shell solaris_suspicious_network_activity: PT-CR-551: Solaris_Detect_Run_Bash_For_Reverse_Shell: Использование reverse shell при помощи bash unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор pt_application_firewall: PT-CR-1915: PTAF_Hacktool_Detected: Приложение PT AF обнаружило признаки использования вредоносной утилиты pt_application_firewall: PT-CR-1906: PTAF_Command_Injection_Detected: Приложение PT AF обнаружило внедрение команд ОС it_bastion: PT-CR-2171: SKDPUNT_Suspicious_Command: Пользователь выполнил потенциально опасную команду it_bastion: PT-CR-2184: SKDPUNT_Blacklisted_Command: Выполнена команда из черного списка it_bastion: PT-CR-2177: SKDPUNT_Potentially_Dangerous_Command: Использованы потенциально опасные команды mysql_database: PT-CR-617: MySQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии unix_mitre_attck_execution: PT-CR-294: Unix_Reverse_Shell_Via_Bash: Обратное подключение (reverse shell) с помощью Bash-скрипта unix_mitre_attck_execution: PT-CR-1019: Unix_Recon_Tools_And_Commands: Выполнены команды разведки на узле под управлением Unix unix_mitre_attck_execution: PT-CR-1021: Unix_Suspicious_Command: Подозрительные команды выполнены на узле под управлением Unix unix_mitre_attck_execution: PT-CR-1071: Unix_Connect_From_Home_Dir: Вызов сетевого API процессом, запущенным из домашнего каталога пользователя unix_mitre_attck_execution: PT-CR-286: Unix_Bind_Shell: Внешнее подключение к Bind Shell unix_mitre_attck_execution: PT-CR-296: Unix_Reverse_Shell: Обратное подключение (reverse shell), созданное при помощи сторонних утилит unix_mitre_attck_execution: PT-CR-1031: Unix_Inline_Reverse_Or_Bind_Shell: Прямое или обратное подключение (bind или reverse shell) обнаружено по специфичным шаблонам команды, запущенной на исполнение unix_mitre_attck_execution: PT-CR-482: Unix_Connect_From_Suspicious_Dir: Вызов сетевого API процессом, запущенным из подозрительного каталога unix_mitre_attck_execution: PT-CR-1018: Unix_Hacktool_Usage: Использование инструментов из табличного списка Unix_Hacktools для анализа защищенности на узлах под управлением Unix mitre_attck_defense_evasion: PT-CR-1776: Browser_LOLBin: Запуск процесса с помощью доверенного ПО sap_suspicious_user_activity: PT-CR-254: SAPASABAP_GW_Sapxpg_Call: Запуск SAPXPG postgresql_database: PT-CR-1899: PostgreSQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии postgresql_database: PT-CR-1902: PostgreSQL_File_System_Actions: Взаимодействие базы данных PostgreSQL с файловой системой может свидетельствовать о разведке или попытках злоумышленника повысить привилегии в том случае, если это не штатная интеграция базы данных с внешними системами postgresql_database: PT-CR-1903: Subrule_PostgreSQL_Create_Process: Порождение подпроцессов процесcа базы данных PostgreSQL
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых могут использоваться команды и сценарии оболочки Unix для выполнения вредоносного кода. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте команды и сценарии командной оболочки Unix, которые могут использоваться для выполнения вредоносного кода, и их аргументы. Администраторы, разработчики и опытные пользователи могут часто использовать командную оболочку Unix, если этого требуют их должностные обязанности. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Примечание. Эта аналитика не содержит исчерпывающего перечня подозрительных команд, которые могут выполняться через интерпретатор командной оболочки. Скорее, она дает представление о том, на каких типах команд следует сосредоточить дальнейшее расследование. Аналитика 1. Выполнение нетипичных команд
|
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | По мере необходимости используйте контроль приложений. |
---|