T1091: Распространение через съемные носители
Злоумышленники могут перемещаться в системы, в том числе находящиеся в изолированных сетях, путем копирования вредоносного ПО на съемный носитель и его автоматического запуска при подключении к системе. Для перемещения внутри периметра они могут модифицировать исполняемые файлы, хранящиеся на съемных носителях, или копировать вредоносное ПО, переименовывая его таким образом, чтобы пользователи принимали его за легитимный файл и запускали на другой системе. Для получения первоначального доступа злоумышленники могут вручную манипулировать носителем информации, модифицировать системы, используемые для первичного форматирования носителя, или даже прошивку носителя.
Для заражения ПК вредоносным ПО злоумышленники также могут использовать мобильные устройства, подключаемые через USB. Для реализации этой техники заражения могут использоваться мобильные устройства на базе Android, iOS и других ОС, а также в некоторых случаях USB-кабели, предназначенные для зарядки. Например, смартфон, подключенный к системе, может отображаться как дисковый USB-накопитель. Если на мобильном устройстве есть вредоносное ПО, совместимое с подключенной системой, оно может заразить такую систему (особенно если включена функция автозапуска).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1750: Process_From_Mounted_Disk: Запуск процесса со смонтированного диска hacking_tools: PT-CR-1857: USB_Rubber_Ducky: Возможная активность USB RubberDucky
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки получения доступа к нетипичным файлам, хранящимся на съемных носителях. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте автоматический или инициированный пользователем запуск новых процессов со съемных носителей при их монтировании. Если таким образом запускается средство удаленного доступа, которое обеспечивает перемещение злоумышленников внутри периметра, то после его запуска с большой долей вероятности будут совершаться и другие действия, такие как установление сетевых подключений к командному серверу и изучение системы и сети. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов на съемных носителях. |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Создание накопителя | Описание | Отслеживайте появление новых букв диска или точек подключения съемных носителей. |
---|
Меры противодействия
ID | M1034 | Название | Ограничение установки аппаратного обеспечения | Описание | Ограничьте использование USB-устройств и съемных носителей в сети. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите автозапуск, если в нем нет необходимости . Запретите или ограничьте использование съемных носителей на уровне организационной политики, если они не требуются для выполнения бизнес-операций . |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Включите правила Attack Surface Reduction (ASR) в Windows 10 для блокировки неподписанных или недоверенных исполняемых файлов, таких как .exe, .dll или .scr, запускаемых со съемных USB-накопителей . |
---|