T1072: Средства развертывания ПО

Злоумышленники могут получить доступ к установленному в корпоративной инфраструктуре ПО для централизованного управления и использовать его для выполнения команд и продвижения внутри сети. Для выполнения рутинных задач администрирования в корпоративной сети или облачной среде могут использоваться приложения для управления настройками и развертыванием ПО. Такие системы также могут интегрироваться в цепочки CI/CD. К таким решениям относятся, в частности: SCCM, HBSS, Altiris, AWS Systems Manager, Microsoft Intune, Azure Arc и GCP Deployment Manager.

Получив доступ к программному обеспечению для управления конечными точками в масштабе локальной сети или предприятия, злоумышленник может выполнять код на всех подключенных системах в удаленном режиме. Имея такой доступ, злоумышленник может перемещаться между системами системам, собирать информацию или выполнять другие действия, например удалять данные с жестких дисков на всех конечных точках.

SaaS-сервисы управления конфигурациями позволяют использовать широкий спектр средств администрирования облака на облачных экземплярах, а также выполнять произвольные команды на локальных конечных точках. Например, Microsoft Configuration Manager позволяет глобальным администраторам или администраторам Intune запускать сценарии от имени учетной записи SYSTEM на локальных устройствах, подключенных к Azure AD. Такие сервисы могут также использовать веб-протоколы для взаимодействия с инфраструктурой злоумышленников.

На устройствах сетевой инфраструктуры могут быть развернуты инструменты управления конфигурациями, которые злоумышленники могут использовать аналогичным образом.

Разрешения, необходимые для выполнения этого действия, зависят от конфигурации системы; для прямого доступа к сторонней системе может быть достаточно локальных учетных данных либо могут потребоваться учетные данные определенного домена. Кроме того, для входа в систему или доступа к отдельным функциям может потребоваться учетная запись администратора.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

process_chains_and_logons: PT-CR-947: Suspicious_Kaspersky_Agent_Process_Chain: Подозрительная цепочка запуска процессов для агента Антивируса Касперского "klnagent" process_chains_and_logons: PT-CR-1214: Suspicious_SCCM_Agent_Process_Chain: Подозрительная цепочка запуска процессов для агента SCCM ccmexec.exe kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку kaspersky: PT-CR-806: Kaspersky_Installation_Package_Modification: Пользователь изменил пакет установки microsoft_mecm: PT-CR-1879: MECM_Created_Modified_Program: Создание новой программы или изменение существующей в MECM microsoft_mecm: PT-CR-1881: MECM_Created_Modified_Package: Создание нового пакета или изменение существующего в MECM microsoft_mecm: PT-CR-1869: MECM_Deploy_Application: Развертывание приложения в инфраструктуре MECM microsoft_mecm: PT-CR-1868: MECM_Create_modified_scripts: Создание нового скрипта или изменение существующего в MECM microsoft_mecm: PT-CR-1872: MECM_Run_Script: Запуск скрипта в инфраструктуре MECM microsoft_mecm: PT-CR-1870: MECM_Deploy_Program: Развертывание программы в инфраструктуре MECM microsoft_mecm: PT-CR-1880: MECM_ConfigurationItem: Применение новой конфигурации к узлам инфраструктуры MECM zabbix: PT-CR-808: Zabbix_Script_Executing: Попытка выполнить сценарий в системе Zabbix. Это может быть признаком горизонтального перемещения злоумышленника в сети (lateral movement) drweb: PT-CR-2068: DrWeb_Installation_Package_Modification: Изменен состав компонентов для установки на станциях. Злоумышленник может перезапустить клиент, чтобы удалить компонент. Это может ослабить защиту станции vmware_aria: PT-CR-2372: AOFL_Possible_Upgrade_Via_Malicious_Pak: Возможная эксплуатация уязвимостей CVE-2023-34051, CVE-2022-31706 и CVE-2022-31704. Это позволяет злоумышленнику выполнить произвольный код на узле. Атака состоит из нескольких частей: обход аутентификации, загрузка вредоносного PAK-файла при помощи REMOTE_PAK_DOWNLOAD_COMMAND и запуск обновления через PAK_UPGRADE_COMMAND saltstack: PT-CR-2315: SaltStack_Exec_Cmd: Выполнена команда Salt

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые не связаны с известными безвредными программами. Анализируйте деревья выполнения процессов, историю активности сторонних приложений (в частности, какие типы файлов они обычно отправляют), а также действия или события, являющиеся результатом попадания сценариев, бинарных и других файлов в систему.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Многие сторонние приложения ведут собственные журналы, которые можно сопоставлять с другими данными, собранными из окружения. Проследите, чтобы журналы сторонних приложений были интегрированы в корпоративную систему журналирования, и обеспечьте их регулярный анализ. Проверяйте журналы развертывания ПО на предмет подозрительной и несанкционированной активности. Подозрительной может считаться система, которая обычно не используется для установки программного обеспечения на клиенты, но неожиданно начинает выполнять такие действия вне циклов административных задач. Отслеживайте входы в учетные записи этих приложений, чтобы обнаружить подозрительные или аномальные случаи использования. Развертывайте приложения в определенные сроки, чтобы выявлять подозрительные развертывания, выполненные в другие периоды.

Меры противодействия

IDM1015НазваниеКонфигурация Active DirectoryОписание

Обеспечьте надлежащую изоляцию систем и доступа для критически важных систем с помощью групповой политики.

IDM1017НазваниеОбучение пользователейОписание

Внедрите строгую политику одобрения для использования систем развертывания.

IDM1018НазваниеУправление учетными записямиОписание

Проследите, чтобы все учетные записи, используемые сторонними поставщиками для доступа к системам, можно было отследить, и чтобы они не использовались по всей сети либо другими сторонними поставщиками в той же среде. Регулярно проверяйте, что учетные записи с доступом к системам реально имеют потребность в таком доступе, а также что система отзыва доступа, который больше не требуется, существует и работает. Ограничьте доступ к критически важным сетевым системам с помощью разделения привилегий учетных записей.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Предоставляйте доступ к системам развертывания приложений только ограниченному числу авторизованных администраторов.

IDM1027НазваниеПарольные политикиОписание

Проследите, чтобы учетные данные, которые могут использоваться для доступа к системам развертывания, были уникальны и не использовались больше нигде в корпоративной сети.

IDM1029НазваниеУдаленное хранение данныхОписание

Если система развертывания приложений может быть настроена на развертывание только подписанных бинарных файлов, проследите, чтобы доверенные сертификаты подписи не находились вместе с системой развертывания приложений, а были расположены на системе, к которой нет удаленного доступа или удаленный доступ к которой строго контролируется.

IDM1030НазваниеСегментация сетиОписание

Обеспечьте надлежащую изоляцию критически важных сетевых систем с помощью межсетевых экранов.

IDM1032НазваниеМногофакторная аутентификацияОписание

Обеспечьте надлежащую изоляцию систем и доступа для критически важных сетевых систем с помощью многофакторной аутентификации.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Ограничьте использование ПО сторонних производителей, установленного в корпоративной сети.

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте системы развертывания, чтобы закрыть возможность удаленного доступа через эксплуатацию уязвимостей для повышения привилегий.