T1091: Распространение через съемные носители

Злоумышленники могут перемещаться в системы, в том числе находящиеся в изолированных сетях, путем копирования вредоносного ПО на съемный носитель и его автоматического запуска при подключении к системе. Для перемещения внутри периметра они могут модифицировать исполняемые файлы, хранящиеся на съемных носителях, или копировать вредоносное ПО, переименовывая его таким образом, чтобы пользователи принимали его за легитимный файл и запускали на другой системе. Для получения первоначального доступа злоумышленники могут вручную манипулировать носителем информации, модифицировать системы, используемые для первичного форматирования носителя, или даже прошивку носителя.

Для заражения ПК вредоносным ПО злоумышленники также могут использовать мобильные устройства, подключаемые через USB. Для реализации этой техники заражения могут использоваться мобильные устройства на базе Android, iOS и других ОС, а также в некоторых случаях USB-кабели, предназначенные для зарядки. Например, смартфон, подключенный к системе, может отображаться как дисковый USB-накопитель. Если на мобильном устройстве есть вредоносное ПО, совместимое с подключенной системой, оно может заразить такую систему (особенно если включена функция автозапуска).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1750: Process_From_Mounted_Disk: Запуск процесса со смонтированного диска hacking_tools: PT-CR-1857: USB_Rubber_Ducky: Возможная активность USB RubberDucky

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки получения доступа к нетипичным файлам, хранящимся на съемных носителях.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте автоматический или инициированный пользователем запуск новых процессов со съемных носителей при их монтировании. Если таким образом запускается средство удаленного доступа, которое обеспечивает перемещение злоумышленников внутри периметра, то после его запуска с большой долей вероятности будут совершаться и другие действия, такие как установление сетевых подключений к командному серверу и изучение системы и сети.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов на съемных носителях.

IDDS0016Источник и компонент данныхНакопитель: Создание накопителяОписание

Отслеживайте появление новых букв диска или точек подключения съемных носителей.

Меры противодействия

IDM1034НазваниеОграничение установки аппаратного обеспеченияОписание

Ограничьте использование USB-устройств и съемных носителей в сети.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите автозапуск, если в нем нет необходимости . Запретите или ограничьте использование съемных носителей на уровне организационной политики, если они не требуются для выполнения бизнес-операций .

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Включите правила Attack Surface Reduction (ASR) в Windows 10 для блокировки неподписанных или недоверенных исполняемых файлов, таких как .exe, .dll или .scr, запускаемых со съемных USB-накопителей .