MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1082: Изучение системы

Злоумышленники могут попытаться получить подробную информацию об операционной системе и аппаратном обеспечении, включая версии, обновления, исправления и архитектуру. Злоумышленники могут использовать информацию, полученную при изучении системы в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.

Для сбора подробных сведений о системе могут использоваться такие инструменты, как systeminfo. В macOS злоумышленники, получившие привилегированный доступ, могут собирать подробные сведения о системе с помощью инструмента настройки systemsetup. Например, злоумышленники с пользовательскими правами доступа могут выполнить команду df -aH для получения информации о подключенных дисках и свободном месте на них. Для сбора подробных сведений о системе, установленной на сетевом устройстве, злоумышленники могут также воспользоваться интерпретаторами командной строки сетевых устройств (например, вызвав команду show version). Сведения, полученные в ходе изучения системы, а также с использованием других техник обнаружения и разведки, могут использоваться для разработки полезной нагрузки и методов ее скрытия.

Поставщики облачных IaaS-сервисов, такие как AWS, GCP и Azure, позволяют получать сведения об экземплярах и виртуальных машинах через API. В случае успешной аутентификации вызовы API могут возвращать данные об операционной системе и статусе отдельного экземпляра или представлении модели виртуальной машины.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_discovery: PT-CR-332: System_Information_Discovery: Обнаружена попытка получить информацию о версиях системы, приложений и включенных компонентах
unix_mitre_attck_discovery: PT-CR-1690: Unix_System_Information_Discovery: Получение информации о системе на Unix-узле
mitre_attck_discovery: PT-CR-1014: USB_Tokens_Discovery: Попытка получить информацию о подключенных токенах или ключах пользователя, хранящихся в реестре
hacking_tools: PT-CR-2118: adPEAS_Usage: Запущен сценарий adPEAS для разведки в домене
sap_suspicious_user_activity: PT-CR-244: SAPASABAP_GW_Reginfo_denied_server: Запрет регистрации внешней программы
sap_suspicious_user_activity: PT-CR-246: SAPASABAP_GW_Secinfo_denied: Запуск внешней программы запрещен
hashicorp: PT-CR-2141: Hashicorp_Vault_Infrastructure_Discovery: Злоумышленники могут выполнять разведку инфраструктуры системы для определения возможных дальнейших действий
solaris_suspicious_network_activity: PT-CR-546: Solaris_detect_local_automatic_recon_by_WWW_user: Обнаружена локальная разведка операционной системы
solaris_suspicious_network_activity: PT-CR-547: Solaris_detect_local_manual_recon_by_WWW_user: Обнаружена локальная разведка операционной системы
unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор
hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики
hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth)
hacking_tools: PT-CR-2244: SOAPHound_Usage: Использована утилита SOAPHound, предназначенная для сбора данных Active Directory через протокол веб-служб Active Directory (ADWS)
postgresql_database: PT-CR-2335: PostgreSQL_Func_Discovery: Получение кода всех функций через pg_proc как элемент разведки
postgresql_database: PT-CR-2336: PostgreSQL_SecDef_Function_PrivEsc: Создание и поиск функций Security Definer как потенциальный элемент повышения привилегий
mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле
mssql_database: PT-CR-416: MSSQL_file_system_discovery: Попытка получить информацию из файловой системы через базу данных
clickhouse: PT-CR-1569: ClickHouse_DBMS_version_discovery: Обнаружена попытка получения информации о версии СУБД
clickhouse: PT-CR-1583: ClickHouse_system_info_discovery: Обнаружена попытка получения информации о сервере или СУБД
active_directory_attacks: PT-CR-2125: Untrusted_Terminal_Server_Activity: Использованы команды недоверенного терминального сервера

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут попытаться получить подробную информацию об операционной системе и аппаратном обеспечении, включая версии, исправления, пакеты обновлений и архитектуру.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых можно получить подробную информацию об операционной системе и аппаратном обеспечении, включая версии, исправления, пакеты обновлений и архитектуру. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell. В облачных системах для выявления доступа к определенным API и дашбордам, содержащим информацию о системе, можно использовать встроенные средства журналирования. В зависимости от того, как используется среда, эти данные сами по себе могут оказаться бесполезны, если эти функции применяются в штатном режиме работы.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения подробной информации об операционной системе и аппаратном обеспечении, включая версии, исправления, пакеты обновлений и архитектуру. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.