Техника на mitre.org

T1070.005: Удаление подключений к общим сетевым ресурсам

Чтобы скрыть следы своей активности, злоумышленники могут удалить подключения к общим ресурсам, которые им больше не нужны. Злоумышленники могут удалять подключения к общим дискам Windows и общим SMB- и административным ресурсам Windows, в которых больше нет необходимости. Для этого может использоваться, например, утилита net, которая удаляет подключения к общим сетевым ресурсам с помощью команды net use \system\share /delete .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процесса net.exe, в командной строке которых содержится фрагмент «share» (или «use <название_общего_расположения>») и ключ /delete (например, net share #{share_name} /delete), либо событий запуска командлетов PowerShell Remove-SmbShare и Remove-FileShare

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	При отслеживании трафика SMB между системами также можно перехватывать и декодировать трафик для выявления соответствующих сеансов работы с сетевыми ресурсами и действий по передаче файлов.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команды net use с аргументами для создания и удаления общих ресурсов на удаленных узлах по протоколу SMB и придерживайтесь лучших практик для обнаружения общих ресурсов администраторов Windows.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Также полезно отслеживать журналы аутентификации Windows, чтобы определить, когда и от имени какой учетной записи создаются сетевые ресурсы с аутентификацией; эту информацию можно использовать для сопоставления активности в сетевых ресурсах с другими событиями при расследовании потенциально вредоносной деятельности.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться для удаления подключений к общим сетевым ресурсам через процесс `net.exe`. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает различные методы удаления общих сетевых ресурсов через командную строку, что само по себе является редким событием. Аналитика 1. Удаление подключений к общим сетевым ресурсам `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (Image= "C:\Windows\System32\net.exe" AND CommandLine= "delete") OR CommandLine="Remove-SmbShare" OR CommandLine="Remove-FileShare" )`

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	При отслеживании трафика SMB между системами также можно перехватывать и декодировать трафик для выявления соответствующих сеансов работы с сетевыми ресурсами и действий по передаче файлов.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команды net use с аргументами для создания и удаления общих ресурсов на удаленных узлах по протоколу SMB и придерживайтесь лучших практик для обнаружения общих ресурсов администраторов Windows.
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Также полезно отслеживать журналы аутентификации Windows, чтобы определить, когда и от имени какой учетной записи создаются сетевые ресурсы с аутентификацией; эту информацию можно использовать для сопоставления активности в сетевых ресурсах с другими событиями при расследовании потенциально вредоносной деятельности.
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться для удаления подключений к общим сетевым ресурсам через процесс `net.exe`. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает различные методы удаления общих сетевых ресурсов через командную строку, что само по себе является редким событием. Аналитика 1. Удаление подключений к общим сетевым ресурсам `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (Image= "C:\Windows\System32\net.exe" AND CommandLine= "delete") OR CommandLine="Remove-SmbShare" OR CommandLine="Remove-FileShare" )`