T1072: Средства развертывания ПО
Злоумышленники могут получить доступ к установленному в корпоративной инфраструктуре ПО для централизованного управления и использовать его для выполнения команд и продвижения внутри сети. Для выполнения рутинных задач администрирования в корпоративной сети или облачной среде могут использоваться приложения для управления настройками и развертыванием ПО. Такие системы также могут интегрироваться в цепочки CI/CD. К таким решениям относятся, в частности: SCCM, HBSS, Altiris, AWS Systems Manager, Microsoft Intune, Azure Arc и GCP Deployment Manager.
Получив доступ к программному обеспечению для управления конечными точками в масштабе локальной сети или предприятия, злоумышленник может выполнять код на всех подключенных системах в удаленном режиме. Имея такой доступ, злоумышленник может перемещаться между системами системам, собирать информацию или выполнять другие действия, например удалять данные с жестких дисков на всех конечных точках.
SaaS-сервисы управления конфигурациями позволяют использовать широкий спектр средств администрирования облака на облачных экземплярах, а также выполнять произвольные команды на локальных конечных точках. Например, Microsoft Configuration Manager позволяет глобальным администраторам или администраторам Intune запускать сценарии от имени учетной записи SYSTEM на локальных устройствах, подключенных к Azure AD. Такие сервисы могут также использовать веб-протоколы для взаимодействия с инфраструктурой злоумышленников.
На устройствах сетевой инфраструктуры могут быть развернуты инструменты управления конфигурациями, которые злоумышленники могут использовать аналогичным образом.
Разрешения, необходимые для выполнения этого действия, зависят от конфигурации системы; для прямого доступа к сторонней системе может быть достаточно локальных учетных данных либо могут потребоваться учетные данные определенного домена. Кроме того, для входа в систему или доступа к отдельным функциям может потребоваться учетная запись администратора.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
process_chains_and_logons: PT-CR-947: Suspicious_Kaspersky_Agent_Process_Chain: Подозрительная цепочка запуска процессов для агента Антивируса Касперского "klnagent" process_chains_and_logons: PT-CR-1214: Suspicious_SCCM_Agent_Process_Chain: Подозрительная цепочка запуска процессов для агента SCCM ccmexec.exe kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку kaspersky: PT-CR-806: Kaspersky_Installation_Package_Modification: Пользователь изменил пакет установки microsoft_mecm: PT-CR-1879: MECM_Created_Modified_Program: Создание новой программы или изменение существующей в MECM microsoft_mecm: PT-CR-1881: MECM_Created_Modified_Package: Создание нового пакета или изменение существующего в MECM microsoft_mecm: PT-CR-1869: MECM_Deploy_Application: Развертывание приложения в инфраструктуре MECM microsoft_mecm: PT-CR-1868: MECM_Create_modified_scripts: Создание нового скрипта или изменение существующего в MECM microsoft_mecm: PT-CR-1872: MECM_Run_Script: Запуск скрипта в инфраструктуре MECM microsoft_mecm: PT-CR-1870: MECM_Deploy_Program: Развертывание программы в инфраструктуре MECM microsoft_mecm: PT-CR-1880: MECM_ConfigurationItem: Применение новой конфигурации к узлам инфраструктуры MECM zabbix: PT-CR-808: Zabbix_Script_Executing: Попытка выполнить сценарий в системе Zabbix. Это может быть признаком горизонтального перемещения злоумышленника в сети (lateral movement) drweb: PT-CR-2068: DrWeb_Installation_Package_Modification: Изменен состав компонентов для установки на станциях. Злоумышленник может перезапустить клиент, чтобы удалить компонент. Это может ослабить защиту станции vmware_aria: PT-CR-2372: AOFL_Possible_Upgrade_Via_Malicious_Pak: Возможная эксплуатация уязвимостей CVE-2023-34051, CVE-2022-31706 и CVE-2022-31704. Это позволяет злоумышленнику выполнить произвольный код на узле. Атака состоит из нескольких частей: обход аутентификации, загрузка вредоносного PAK-файла при помощи REMOTE_PAK_DOWNLOAD_COMMAND и запуск обновления через PAK_UPGRADE_COMMAND saltstack: PT-CR-2315: SaltStack_Exec_Cmd: Выполнена команда Salt
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые не связаны с известными безвредными программами. Анализируйте деревья выполнения процессов, историю активности сторонних приложений (в частности, какие типы файлов они обычно отправляют), а также действия или события, являющиеся результатом попадания сценариев, бинарных и других файлов в систему. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Многие сторонние приложения ведут собственные журналы, которые можно сопоставлять с другими данными, собранными из окружения. Проследите, чтобы журналы сторонних приложений были интегрированы в корпоративную систему журналирования, и обеспечьте их регулярный анализ. Проверяйте журналы развертывания ПО на предмет подозрительной и несанкционированной активности. Подозрительной может считаться система, которая обычно не используется для установки программного обеспечения на клиенты, но неожиданно начинает выполнять такие действия вне циклов административных задач. Отслеживайте входы в учетные записи этих приложений, чтобы обнаружить подозрительные или аномальные случаи использования. Развертывайте приложения в определенные сроки, чтобы выявлять подозрительные развертывания, выполненные в другие периоды. |
---|
Меры противодействия
ID | M1015 | Название | Конфигурация Active Directory | Описание | Обеспечьте надлежащую изоляцию систем и доступа для критически важных систем с помощью групповой политики. |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Внедрите строгую политику одобрения для использования систем развертывания. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Проследите, чтобы все учетные записи, используемые сторонними поставщиками для доступа к системам, можно было отследить, и чтобы они не использовались по всей сети либо другими сторонними поставщиками в той же среде. Регулярно проверяйте, что учетные записи с доступом к системам реально имеют потребность в таком доступе, а также что система отзыва доступа, который больше не требуется, существует и работает. Ограничьте доступ к критически важным сетевым системам с помощью разделения привилегий учетных записей. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Предоставляйте доступ к системам развертывания приложений только ограниченному числу авторизованных администраторов. |
---|
ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы учетные данные, которые могут использоваться для доступа к системам развертывания, были уникальны и не использовались больше нигде в корпоративной сети. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | Если система развертывания приложений может быть настроена на развертывание только подписанных бинарных файлов, проследите, чтобы доверенные сертификаты подписи не находились вместе с системой развертывания приложений, а были расположены на системе, к которой нет удаленного доступа или удаленный доступ к которой строго контролируется. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Обеспечьте надлежащую изоляцию критически важных сетевых систем с помощью межсетевых экранов. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Обеспечьте надлежащую изоляцию систем и доступа для критически важных сетевых систем с помощью многофакторной аутентификации. |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Ограничьте использование ПО сторонних производителей, установленного в корпоративной сети. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте системы развертывания, чтобы закрыть возможность удаленного доступа через эксплуатацию уязвимостей для повышения привилегий. |
---|