T1070.005: Удаление подключений к общим сетевым ресурсам

Чтобы скрыть следы своей активности, злоумышленники могут удалить подключения к общим ресурсам, которые им больше не нужны. Злоумышленники могут удалять подключения к общим дискам Windows и общим SMB- и административным ресурсам Windows, в которых больше нет необходимости. Для этого может использоваться, например, утилита net, которая удаляет подключения к общим сетевым ресурсам с помощью команды net use \system\share /delete .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процесса net.exe, в командной строке которых содержится фрагмент «share» (или «use <название_общего_расположения>») и ключ /delete (например, net share #{share_name} /delete), либо событий запуска командлетов PowerShell Remove-SmbShare и Remove-FileShare

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

При отслеживании трафика SMB между системами также можно перехватывать и декодировать трафик для выявления соответствующих сеансов работы с сетевыми ресурсами и действий по передаче файлов.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команды net use с аргументами для создания и удаления общих ресурсов на удаленных узлах по протоколу SMB и придерживайтесь лучших практик для обнаружения общих ресурсов администраторов Windows.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Также полезно отслеживать журналы аутентификации Windows, чтобы определить, когда и от имени какой учетной записи создаются сетевые ресурсы с аутентификацией; эту информацию можно использовать для сопоставления активности в сетевых ресурсах с другими событиями при расследовании потенциально вредоносной деятельности.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться для удаления подключений к общим сетевым ресурсам через процесс net.exe.

Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает различные методы удаления общих сетевых ресурсов через командную строку, что само по себе является редким событием.

Аналитика 1. Удаление подключений к общим сетевым ресурсам

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") (Image= "C:\Windows\System32\net.exe" AND CommandLine= "delete") OR CommandLine="Remove-SmbShare" OR CommandLine="Remove-FileShare" )