Техника на mitre.org

T1059.006: Python

Злоумышленники могут использовать для выполнения вредоносного кода команды и сценарии Python. Python — очень популярный язык сценариев с широкими функциональными возможностями. Код на Python может выполняться интерактивно из командной строки (через интерпретатор python.exe) или посредством сценариев (файлов .py), которые могут быть написаны и распространены в различных системах. Код на Python также может быть скомпилирован в бинарный исполняемый файл.

Python включает множество встроенных пакетов для взаимодействия с системой, в частности для операций с файлами и ввода-вывода для различных устройств. Злоумышленники могут использовать эти библиотеки для загрузки и выполнения команд или других сценариев, а также для осуществления множества других вредоносных действий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_execution: PT-CR-1031: Unix_Inline_Reverse_Or_Bind_Shell: Прямое или обратное подключение (bind или reverse shell) обнаружено по специфичным шаблонам команды, запущенной на исполнение unix_mitre_attck_execution: PT-CR-296: Unix_Reverse_Shell: Обратное подключение (reverse shell), созданное при помощи сторонних утилит unix_mitre_attck_execution: PT-CR-1678: Unix_File_Creation_By_Script: Создание файла с помощью Python- или Ruby-скрипта unix_mitre_attck_execution: PT-CR-1018: Unix_Hacktool_Usage: Использование инструментов из табличного списка Unix_Hacktools для анализа защищенности на узлах под управлением Unix it_bastion: PT-CR-2184: SKDPUNT_Blacklisted_Command: Выполнена команда из черного списка it_bastion: PT-CR-2171: SKDPUNT_Suspicious_Command: Пользователь выполнил потенциально опасную команду it_bastion: PT-CR-2177: SKDPUNT_Potentially_Dangerous_Command: Использованы потенциально опасные команды mitre_attck_execution: PT-CR-339: Subrule_Script_Files_Execution: Пользователь запустил скрипт mitre_attck_execution: PT-CR-2810: Script_Files_Execution: Пользователь запустил скрипт с помощью процесса, который обратился на внешний адрес, запустил дочерний процесс, изменил ключ реестра, чтобы закрепиться в инфраструктуре, получил доступ к другому процессу или создал удаленный поток в другом процессе pt_application_firewall: PT-CR-1915: PTAF_Hacktool_Detected: Приложение PT AF обнаружило признаки использования вредоносной утилиты

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте нестандартное использование Python или нетипичное поведение процесса python.exe — это может служить индикатором вредоносной активности. Чтобы избежать большого количества ложных срабатываний, важно знать стандартные модели использования. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Действия, выполняемые посредством сценариев, могут по-разному воздействовать на систему и генерировать события, отслеживаемые используемыми механизмами мониторинга. Отслеживайте команды и сценарии Python, которые могут использоваться для выполнения вредоносного кода, и их аргументы.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте нестандартное использование Python или нетипичное поведение процесса python.exe — это может служить индикатором вредоносной активности. Чтобы избежать большого количества ложных срабатываний, важно знать стандартные модели использования. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Действия, выполняемые посредством сценариев, могут по-разному воздействовать на систему и генерировать события, отслеживаемые используемыми механизмами мониторинга. Отслеживайте запуск новых процессов, в которых могут использоваться команды и сценарии Python для выполнения вредоносного кода.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте нестандартное использование Python или нетипичное поведение процесса python.exe — это может служить индикатором вредоносной активности. Чтобы избежать большого количества ложных срабатываний, важно знать стандартные модели использования. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Действия, выполняемые посредством сценариев, могут по-разному воздействовать на систему и генерировать события, отслеживаемые используемыми механизмами мониторинга. Отслеживайте команды и сценарии Python, которые могут использоваться для выполнения вредоносного кода, и их аргументы.
DS0009	Процесс: Создание процесса	Отслеживайте нестандартное использование Python или нетипичное поведение процесса python.exe — это может служить индикатором вредоносной активности. Чтобы избежать большого количества ложных срабатываний, важно знать стандартные модели использования. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Действия, выполняемые посредством сценариев, могут по-разному воздействовать на систему и генерировать события, отслеживаемые используемыми механизмами мониторинга. Отслеживайте запуск новых процессов, в которых могут использоваться команды и сценарии Python для выполнения вредоносного кода.

Меры противодействия

ID	M1033	Название	Ограничение установки программного обеспечения	Описание	Запретите пользователям устанавливать Python там, где это не требуется.

ID	M1038	Название	Защита от выполнения	Описание	Заблокируйте выполнение кода на Python, если оно не требуется.

ID	M1047	Название	Аудит	Описание	Инвентаризация систем на предмет несанкционированной установки Python.

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин.

ID	Название	Описание
M1033	Ограничение установки программного обеспечения	Запретите пользователям устанавливать Python там, где это не требуется.
M1038	Защита от выполнения	Заблокируйте выполнение кода на Python, если оно не требуется.
M1047	Аудит	Инвентаризация систем на предмет несанкционированной установки Python.
M1049	Антивирус или ПО для защиты от вредоносных программ	Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин.