T1059.006: Python

Злоумышленники могут использовать для выполнения вредоносного кода команды и сценарии Python. Python — очень популярный язык сценариев с широкими функциональными возможностями. Код на Python может выполняться интерактивно из командной строки (через интерпретатор python.exe) или посредством сценариев (файлов .py), которые могут быть написаны и распространены в различных системах. Код на Python также может быть скомпилирован в бинарный исполняемый файл.

Python включает множество встроенных пакетов для взаимодействия с системой, в частности для операций с файлами и ввода-вывода для различных устройств. Злоумышленники могут использовать эти библиотеки для загрузки и выполнения команд или других сценариев, а также для осуществления множества других вредоносных действий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_application_firewall: PT-CR-1915: PTAF_Hacktool_Detected: Приложение PT AF обнаружило признаки использования вредоносной утилиты it_bastion: PT-CR-2171: SKDPUNT_Suspicious_Command: Пользователь выполнил потенциально опасную команду it_bastion: PT-CR-2184: SKDPUNT_Blacklisted_Command: Выполнена команда из черного списка it_bastion: PT-CR-2177: SKDPUNT_Potentially_Dangerous_Command: Использованы потенциально опасные команды mitre_attck_execution: PT-CR-339: Script_Files_Execution: Пользователь попытался запустить скрипт unix_mitre_attck_execution: PT-CR-1678: Unix_File_Creation_By_Script: Создание файла с помощью Python- или Ruby-скрипта unix_mitre_attck_execution: PT-CR-296: Unix_Reverse_Shell: Обратное подключение (reverse shell), созданное при помощи сторонних утилит unix_mitre_attck_execution: PT-CR-1031: Unix_Inline_Reverse_Or_Bind_Shell: Прямое или обратное подключение (bind или reverse shell) обнаружено по специфичным шаблонам команды, запущенной на исполнение unix_mitre_attck_execution: PT-CR-1018: Unix_Hacktool_Usage: Использование инструментов из табличного списка Unix_Hacktools для анализа защищенности на узлах под управлением Unix

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте нестандартное использование Python или нетипичное поведение процесса python.exe — это может служить индикатором вредоносной активности. Чтобы избежать большого количества ложных срабатываний, важно знать стандартные модели использования. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Действия, выполняемые посредством сценариев, могут по-разному воздействовать на систему и генерировать события, отслеживаемые используемыми механизмами мониторинга. Отслеживайте команды и сценарии Python, которые могут использоваться для выполнения вредоносного кода, и их аргументы.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте нестандартное использование Python или нетипичное поведение процесса python.exe — это может служить индикатором вредоносной активности. Чтобы избежать большого количества ложных срабатываний, важно знать стандартные модели использования. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Действия, выполняемые посредством сценариев, могут по-разному воздействовать на систему и генерировать события, отслеживаемые используемыми механизмами мониторинга. Отслеживайте запуск новых процессов, в которых могут использоваться команды и сценарии Python для выполнения вредоносного кода.

Меры противодействия

IDM1047НазваниеАудитОписание

Инвентаризация систем на предмет несанкционированной установки Python.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Запретите пользователям устанавливать Python там, где это не требуется.

IDM1038НазваниеЗащита от выполненияОписание

Заблокируйте выполнение кода на Python, если оно не требуется.