T1080: Заражение общего содержимого

Злоумышленники могут доставлять полезную нагрузку в удаленные системы путем изменения содержимого совместно используемых (общих) хранилищ, таких как сетевые диски или внутренние репозитории кода. Содержимое общих сетевых дисков и других хранилищ может быть заражено путем добавления к легитимным файлам вредоносных программ, сценариев или эксплойтов. При открытии зараженного общего содержимого его вредоносный компонент может запустить выполнение внедренного злоумышленником кода в удаленной системе. Злоумышленники могут использовать зараженное общее содержимое для перемещения внутри сети.

Одна из разновидностей этой техники предполагает использование нескольких дополнительных техник распространения вредоносного ПО при получении пользователями доступа к общему сетевому каталогу. Она заключается в изменении ярлыков (файлов LNK) каталогов с помощью маскировки таким образом, чтобы ярлыки выглядели как настоящие каталоги, которые предварительно были скрыты с применением техники Скрытые файлы и каталоги. Во вредоносные файлы LNK встроена команда, которая выполняет скрытый в каталоге вредоносный файл, а затем открывает настоящий каталог, ожидаемый пользователем. Применение этой техники в часто используемых сетевых каталогах может привести к частым повторным заражениям и получению злоумышленниками доступа к более широкому кругу систем и, возможно, к новым учетным записям с более высоким уровнем привилегий .

Злоумышленники также могут скомпрометировать общие сетевые каталоги через заражение размещенных в них легитимных бинарных файлов путем добавления вредоносного кода перед находящимся в них кодом или после него. Вредоносное ПО может изменить начальную точку входа легитимного бинарного файла таким образом, чтобы вредоносный код выполнялся раньше легитимного. При запуске зараженного файла в удаленной системе распространение инфекции продолжится. С помощью этой техники злоумышленники могут заражать как бинарные, так и небинарные файлы, в частности с расширениями .exe, .dll, .scr, .bat и .vbs.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-1996: Creation_Of_Many_Identical_Files: Создание большого количества файлов (более 200) с одинаковым именем в разных каталогах за короткий промежуток времени. Это может косвенно свидетельствовать об активности криптолокеров, которые, шифруя файлы, оставляют в каждом из зашифрованных каталогов файлы с одинаковыми именами, содержащие требования злоумышленников

Способы обнаружения

IDDS0033Источник и компонент данныхСетевая папка: Доступ к сетевой папкеОписание

Отслеживайте неожиданные и необычные случаи доступа к сетевым папкам, особенно связанные с обращением к файлам.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание или перезапись большого количества файлов в общем сетевом каталоге.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте файлы, которые записывают или перезаписывают данные множества файлов и сохраняют результаты в общем сетевом каталоге. Подобные изменения можно считать подозрительными.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы, которые запускаются со съемных носителей, на предмет вредоносной или аномальной активности, например сетевых подключений к командному серверу или изучения сети.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Защитите общие папки, сократив до минимума количество пользователей, имеющих доступ на запись.

IDM1038НазваниеЗащита от выполненияОписание

Выявляйте потенциально вредоносное ПО, которое может быть использовано для заражения общего содержимого или может проникнуть в систему в результате такого заражения. Используйте средства контроля приложений, такие как AppLocker или политики ограниченного использования программ (SRP), чтобы проверять и при необходимости блокировать неизвестные программы .

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин.

IDM1050НазваниеЗащита от эксплойтовОписание

Используйте утилиты, которые обнаруживают или ослабляют распространенные функции, используемые при эксплуатации, например Microsoft Enhanced Mitigation Experience Toolkit (EMET).