T1070.005: Удаление подключений к общим сетевым ресурсам
Чтобы скрыть следы своей активности, злоумышленники могут удалить подключения к общим ресурсам, которые им больше не нужны. Злоумышленники могут удалять подключения к общим дискам Windows и общим SMB- и административным ресурсам Windows, в которых больше нет необходимости. Для этого может использоваться, например, утилита net, которая удаляет подключения к общим сетевым ресурсам с помощью команды net use \system\share /delete
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процесса net.exe, в командной строке которых содержится фрагмент «share» (или «use <название_общего_расположения>») и ключ /delete (например, net share #{share_name} /delete), либо событий запуска командлетов PowerShell Remove-SmbShare и Remove-FileShare
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | При отслеживании трафика SMB между системами также можно перехватывать и декодировать трафик для выявления соответствующих сеансов работы с сетевыми ресурсами и действий по передаче файлов. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команды net use с аргументами для создания и удаления общих ресурсов на удаленных узлах по протоколу SMB и придерживайтесь лучших практик для обнаружения общих ресурсов администраторов Windows. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Также полезно отслеживать журналы аутентификации Windows, чтобы определить, когда и от имени какой учетной записи создаются сетевые ресурсы с аутентификацией; эту информацию можно использовать для сопоставления активности в сетевых ресурсах с другими событиями при расследовании потенциально вредоносной деятельности. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться для удаления подключений к общим сетевым ресурсам через процесс Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает различные методы удаления общих сетевых ресурсов через командную строку, что само по себе является редким событием. Аналитика 1. Удаление подключений к общим сетевым ресурсам
|
---|