MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1080: Заражение общего содержимого

Злоумышленники могут доставлять полезную нагрузку в удаленные системы путем изменения содержимого совместно используемых (общих) хранилищ, таких как сетевые диски или внутренние репозитории кода. Содержимое общих сетевых дисков и других хранилищ может быть заражено путем добавления к легитимным файлам вредоносных программ, сценариев или эксплойтов. При открытии зараженного общего содержимого его вредоносный компонент может запустить выполнение внедренного злоумышленником кода в удаленной системе. Злоумышленники могут использовать зараженное общее содержимое для перемещения внутри сети.

Одна из разновидностей этой техники предполагает использование нескольких дополнительных техник распространения вредоносного ПО при получении пользователями доступа к общему сетевому каталогу. Она заключается в изменении ярлыков (файлов LNK) каталогов с помощью маскировки таким образом, чтобы ярлыки выглядели как настоящие каталоги, которые предварительно были скрыты с применением техники Скрытые файлы и каталоги. Во вредоносные файлы LNK встроена команда, которая выполняет скрытый в каталоге вредоносный файл, а затем открывает настоящий каталог, ожидаемый пользователем. Применение этой техники в часто используемых сетевых каталогах может привести к частым повторным заражениям и получению злоумышленниками доступа к более широкому кругу систем и, возможно, к новым учетным записям с более высоким уровнем привилегий .

Злоумышленники также могут скомпрометировать общие сетевые каталоги через заражение размещенных в них легитимных бинарных файлов путем добавления вредоносного кода перед находящимся в них кодом или после него. Вредоносное ПО может изменить начальную точку входа легитимного бинарного файла таким образом, чтобы вредоносный код выполнялся раньше легитимного. При запуске зараженного файла в удаленной системе распространение инфекции продолжится. С помощью этой техники злоумышленники могут заражать как бинарные, так и небинарные файлы, в частности с расширениями .exe, .dll, .scr, .bat и .vbs.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-1996: Creation_of_Many_Identical_Files: Создание большого количества файлов (более 200) с одинаковым именем в разных каталогах за короткий промежуток времени. Это может косвенно свидетельствовать об активности криптолокеров, которые, шифруя файлы, оставляют в каждом из зашифрованных каталогов файлы с одинаковыми именами, содержащие требования злоумышленников

Способы обнаружения

IDDS0033Источник и компонент данныхСетевая папка: Доступ к сетевой папкеОписание

Отслеживайте неожиданные и необычные случаи доступа к сетевым папкам, особенно связанные с обращением к файлам.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы, которые запускаются со съемных носителей, на предмет вредоносной или аномальной активности, например сетевых подключений к командному серверу или изучения сети.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте файлы, которые записывают или перезаписывают данные множества файлов и сохраняют результаты в общем сетевом каталоге. Подобные изменения можно считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, которые записывают или перезаписывают данные ряда файлов и сохраняют результаты в общем сетевом каталоге.

Меры противодействия

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин

IDM1038НазваниеЗащита от выполненияОписание

Выявляйте потенциально вредоносное ПО, которое может быть использовано для порчи контента или может проникнуть в систему в результате таковой. Проверяйте и (или) блокируйте неизвестные программы с помощью инструментов контроля приложений, таких как AppLocker или политики ограничения ПО, по мере необходимости. .

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Защитите общие папки, сократив до минимума количество пользователей, имеющих доступ на запись.

IDM1050НазваниеЗащита от эксплойтовОписание

Используйте утилиты, которые обнаруживают или ослабляют распространенные функции, используемые при эксплуатации, например, Microsoft Enhanced Mitigation Experience Toolkit (EMET).