T1080: Заражение общего содержимого
Злоумышленники могут доставлять полезную нагрузку в удаленные системы путем изменения содержимого совместно используемых (общих) хранилищ, таких как сетевые диски или внутренние репозитории кода. Содержимое общих сетевых дисков и других хранилищ может быть заражено путем добавления к легитимным файлам вредоносных программ, сценариев или эксплойтов. При открытии зараженного общего содержимого его вредоносный компонент может запустить выполнение внедренного злоумышленником кода в удаленной системе. Злоумышленники могут использовать зараженное общее содержимое для перемещения внутри сети.
Одна из разновидностей этой техники предполагает использование нескольких дополнительных техник распространения вредоносного ПО при получении пользователями доступа к общему сетевому каталогу. Она заключается в изменении ярлыков (файлов LNK) каталогов с помощью маскировки таким образом, чтобы ярлыки выглядели как настоящие каталоги, которые предварительно были скрыты с применением техники Скрытые файлы и каталоги. Во вредоносные файлы LNK встроена команда, которая выполняет скрытый в каталоге вредоносный файл, а затем открывает настоящий каталог, ожидаемый пользователем. Применение этой техники в часто используемых сетевых каталогах может привести к частым повторным заражениям и получению злоумышленниками доступа к более широкому кругу систем и, возможно, к новым учетным записям с более высоким уровнем привилегий .
Злоумышленники также могут скомпрометировать общие сетевые каталоги через заражение размещенных в них легитимных бинарных файлов путем добавления вредоносного кода перед находящимся в них кодом или после него. Вредоносное ПО может изменить начальную точку входа легитимного бинарного файла таким образом, чтобы вредоносный код выполнялся раньше легитимного. При запуске зараженного файла в удаленной системе распространение инфекции продолжится. С помощью этой техники злоумышленники могут заражать как бинарные, так и небинарные файлы, в частности с расширениями .exe, .dll, .scr, .bat и .vbs.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_impact: PT-CR-1996: Creation_of_Many_Identical_Files: Создание большого количества файлов (более 200) с одинаковым именем в разных каталогах за короткий промежуток времени. Это может косвенно свидетельствовать об активности криптолокеров, которые, шифруя файлы, оставляют в каждом из зашифрованных каталогов файлы с одинаковыми именами, содержащие требования злоумышленников
Способы обнаружения
ID | DS0033 | Источник и компонент данных | Сетевая папка: Доступ к сетевой папке | Описание | Отслеживайте неожиданные и необычные случаи доступа к сетевым папкам, особенно связанные с обращением к файлам. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы, которые запускаются со съемных носителей, на предмет вредоносной или аномальной активности, например сетевых подключений к командному серверу или изучения сети. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте файлы, которые записывают или перезаписывают данные множества файлов и сохраняют результаты в общем сетевом каталоге. Подобные изменения можно считать подозрительными. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, которые записывают или перезаписывают данные ряда файлов и сохраняют результаты в общем сетевом каталоге. |
---|
Меры противодействия
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Выявляйте потенциально вредоносное ПО, которое может быть использовано для порчи контента или может проникнуть в систему в результате таковой. Проверяйте и (или) блокируйте неизвестные программы с помощью инструментов контроля приложений, таких как AppLocker или политики ограничения ПО, по мере необходимости. . |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Защитите общие папки, сократив до минимума количество пользователей, имеющих доступ на запись. |
---|
ID | M1050 | Название | Защита от эксплойтов | Описание | Используйте утилиты, которые обнаруживают или ослабляют распространенные функции, используемые при эксплуатации, например, Microsoft Enhanced Mitigation Experience Toolkit (EMET). |
---|