Техника на mitre.org

T1080: Заражение общего содержимого

Злоумышленники могут доставлять полезную нагрузку в удаленные системы путем изменения содержимого совместно используемых (общих) хранилищ, таких как сетевые диски или внутренние репозитории кода. Содержимое общих сетевых дисков и других хранилищ может быть заражено путем добавления к легитимным файлам вредоносных программ, сценариев или эксплойтов. При открытии зараженного общего содержимого его вредоносный компонент может запустить выполнение внедренного злоумышленником кода в удаленной системе. Злоумышленники могут использовать зараженное общее содержимое для перемещения внутри сети.

Одна из разновидностей этой техники предполагает использование нескольких дополнительных техник распространения вредоносного ПО при получении пользователями доступа к общему сетевому каталогу. Она заключается в изменении ярлыков (файлов LNK) каталогов с помощью маскировки таким образом, чтобы ярлыки выглядели как настоящие каталоги, которые предварительно были скрыты с применением техники Скрытые файлы и каталоги. Во вредоносные файлы LNK встроена команда, которая выполняет скрытый в каталоге вредоносный файл, а затем открывает настоящий каталог, ожидаемый пользователем. Применение этой техники в часто используемых сетевых каталогах может привести к частым повторным заражениям и получению злоумышленниками доступа к более широкому кругу систем и, возможно, к новым учетным записям с более высоким уровнем привилегий .

Злоумышленники также могут скомпрометировать общие сетевые каталоги через заражение размещенных в них легитимных бинарных файлов путем добавления вредоносного кода перед находящимся в них кодом или после него. Вредоносное ПО может изменить начальную точку входа легитимного бинарного файла таким образом, чтобы вредоносный код выполнялся раньше легитимного. При запуске зараженного файла в удаленной системе распространение инфекции продолжится. С помощью этой техники злоумышленники могут заражать как бинарные, так и небинарные файлы, в частности с расширениями .exe, .dll, .scr, .bat и .vbs.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-1996: Creation_Of_Many_Identical_Files: Создание большого количества файлов (более 200) с одинаковым именем в разных каталогах за короткий промежуток времени. Это может косвенно свидетельствовать об активности криптолокеров, которые, шифруя файлы, оставляют в каждом из зашифрованных каталогов файлы с одинаковыми именами, содержащие требования злоумышленников

Способы обнаружения

ID	DS0033	Источник и компонент данных	Сетевая папка: Доступ к сетевой папке	Описание	Отслеживайте неожиданные и необычные случаи доступа к сетевым папкам, особенно связанные с обращением к файлам.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание или перезапись большого количества файлов в общем сетевом каталоге.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте файлы, которые записывают или перезаписывают данные множества файлов и сохраняют результаты в общем сетевом каталоге. Подобные изменения можно считать подозрительными.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы, которые запускаются со съемных носителей, на предмет вредоносной или аномальной активности, например сетевых подключений к командному серверу или изучения сети.

ID	Источник и компонент данных	Описание
DS0033	Сетевая папка: Доступ к сетевой папке	Отслеживайте неожиданные и необычные случаи доступа к сетевым папкам, особенно связанные с обращением к файлам.
DS0022	Файл: Создание файла	Отслеживайте создание или перезапись большого количества файлов в общем сетевом каталоге.
DS0022	Файл: Изменение файла	Отслеживайте файлы, которые записывают или перезаписывают данные множества файлов и сохраняют результаты в общем сетевом каталоге. Подобные изменения можно считать подозрительными.
DS0009	Процесс: Создание процесса	Отслеживайте процессы, которые запускаются со съемных носителей, на предмет вредоносной или аномальной активности, например сетевых подключений к командному серверу или изучения сети.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Защитите общие папки, сократив до минимума количество пользователей, имеющих доступ на запись.

ID	M1038	Название	Защита от выполнения	Описание	Выявляйте потенциально вредоносное ПО, которое может быть использовано для заражения общего содержимого или может проникнуть в систему в результате такого заражения. Используйте средства контроля приложений, такие как AppLocker или политики ограниченного использования программ (SRP), чтобы проверять и при необходимости блокировать неизвестные программы .

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин.

ID	M1050	Название	Защита от эксплойтов	Описание	Используйте утилиты, которые обнаруживают или ослабляют распространенные функции, используемые при эксплуатации, например Microsoft Enhanced Mitigation Experience Toolkit (EMET).

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Защитите общие папки, сократив до минимума количество пользователей, имеющих доступ на запись.
M1038	Защита от выполнения	Выявляйте потенциально вредоносное ПО, которое может быть использовано для заражения общего содержимого или может проникнуть в систему в результате такого заражения. Используйте средства контроля приложений, такие как AppLocker или политики ограниченного использования программ (SRP), чтобы проверять и при необходимости блокировать неизвестные программы .
M1049	Антивирус или ПО для защиты от вредоносных программ	Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин.
M1050	Защита от эксплойтов	Используйте утилиты, которые обнаруживают или ослабляют распространенные функции, используемые при эксплуатации, например Microsoft Enhanced Mitigation Experience Toolkit (EMET).