T1105: Передача инструментов из внешней сети
Злоумышленники могут перемещать инструменты или файлы из внешней системы в скомпрометированную среду. Инструменты или файлы могут быть перенесены в сеть жертвы из внешней системы, контролируемой злоумышленниками, по каналу управления или по альтернативным протоколам, таким как FTP. Появившись в системе, злоумышленники могут также передавать инструменты на различные устройства жертв в скомпрометированной системе (см. Передача инструментов внутри периметра).
В Windows для загрузки инструментов злоумышленники могут использовать различные утилиты, такие как copy
, finger
, certutil, а также команды PowerShell, например IEX(New-Object Net.WebClient).downloadString()
и Invoke-WebRequest
. В системах Linux и macOS также существует большое количество утилит, таких как curl
, scp
, sftp
, tftp
, rsync
, finger
и wget
.
Для загрузки инструментов на хосты жертв злоумышленники также могут использовать установщики и диспетчеры пакетов, такие как yum
или winget
. Злоумышленники также используют функции файловых приложений, например обработчик протокола Windows search-ms
, для доставки вредоносных файлов жертвам через удаленный поиск файлов, инициируемый пользователем (обычно после взаимодействия пользователя с фишинговыми файлами-приманками).
Файлы также могут передаваться с помощью различных веб-служб, а также встроенных или имеющихся в системе жертвы инструментов. В некоторых случаях для передачи файлов на системы жертв злоумышленники могут использовать службы, которые синхронизируются между веб-клиентом и локальным клиентом, такие как Dropbox или OneDrive. Например, скомпрометировав облачную учетную запись и войдя на веб-портал службы, злоумышленник может запустить автоматический процесс синхронизации, который перенесет файл на компьютер жертвы..
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов mitre_attck_command_and_control: PT-CR-1816: Windows_Desktopimgdownldr_Ingress_Tool_Transfer: Использование встроенной утилиты desktopimgdownldr с параметрами, которые могут применяться для доставки инструментов атаки mitre_attck_command_and_control: PT-CR-845: Download_Via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов remote_work: PT-CR-1913: File_Copy_Via_RemoteAccess_Tool: Создан подозрительный файл с помощью утилиты для удаленного доступа antimalware: PT-CR-722: Sandbox_Full_Scan_Malware: Система PT Sandbox обнаружила нежелательный или вредоносный объект unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_By_Daemons: Запущена утилита для передачи файлов от имени служебной учетной записи unix_mitre_attck_command_and_control: PT-CR-2648: Unix_Possible_GSocket_Usage: Попытка подключения к внешнему узлу через порт 443 с помощью утилиты из пакета Global Socket Toolkit (gsocket, blitz, gs-mount или gs-sftp). Это может быть действием злоумышленника с целью сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-2639: Unix_Possible_GS_Netcat_Usage: Попытка подключиться к внешнему узлу на порт назначения 443. Это может быть признаком использования утилиты gs-netcat для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin" hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Пользователь скачал полезную нагрузку с помощью зашифрованной команды PowerShell hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application hacking_tools: PT-CR-2692: Covenant_File_Upload: Загружен файл с помощью С2-фреймворка Covenant hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32" hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike hacking_tools: PT-CR-3049: ToxicEye_Usage: Подозрительная активность, схожая с активностью трояна удаленного доступа ToxicEye, использующего Telegram в качестве управляющего сервера. Признаки подозрительной активности: DNS-запрос к API Telegram, создание характерных динамических библиотек, закрепление в системе путем создания запланированной задачи или копии процесса в другом каталоге либо путем получения доступа к файлам, содержащим конфиденциальные данные hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32" hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Множественные попытки проверки доставки полезной нагрузки с помощью программного обеспечения Cobalt Strike hacking_tools: PT-CR-2756: Subrule_WannaMine_Usage: Признаки заражения криптомайнером WannaMine. К таким признакам относятся подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также выполнение вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-2757: WannaMine_Usage: Подозрительная активность, схожая с активностью криптомайнера WannaMine. Признаками подозрительной активности являются подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также запуск вредоносного кода путем размещения библиотеки рядом с легитимным приложением kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя mitre_attck_initial_access: PT-CR-3032: Suspicious_Living_Off_Trusted_Sites_Usage: Взаимодействие с легитимными сайтами из группы LOTS (Living Off Trusted Sites): создание потока данных после обращения к сайту LOTS или DNS-запрос с последующим запуском дочернего процесса, установкой сетевого подключения или созданием файла с подозрительным расширением. Злоумышленники используют сайты LOTS для фишинга, эксфильтрации, взаимодействия с командным сервером и загрузки утилит на узел жертвы mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass pt_cs: PT-CR-2851: PTCS_Download_Tools_Use: Сетевая активность утилиты, используемой для отправки файлов из внешнего источника в скомпрометированную систему unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_Via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD) pt_ngfw: PT-CR-2933: NGFW_Antivirus_Alert: Антивирус в PT NGFW обнаружил зараженный файл в передаваемом трафике и предотвратил его передачу microsoft_mecm: PT-CR-1876: MECM_Distribute_Content: Передача пакета или приложения на точку распространения в MECM mssql_database: PT-CR-408: MSSQL_Create_File_In_System: Попытка создать файл на жестком диске через базу данных mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil" mitre_attck_exfiltration: PT-CR-3019: Cloud_Client_Synchronization_Folder_Usage: Действие с файлом в директории, выполняющей автоматическую синхронизацию с облачным хранилищем. Злоумышленники используют такие директории для эксфильтрации или загрузки необходимых инструментов на узел mitre_attck_exfiltration: PT-CR-3047: Bluetooth_File_Transfer: Подключение к именованному каналу с помощью утилиты для передачи файлов по Bluetooth. Это может быть попыткой злоумышленников произвести эксфильтрацию конфиденциальной информации или скачать необходимые инструменты mitre_attck_exfiltration: PT-CR-3018: Web_Service_Interaction_Via_LOLBins: Взаимодействие легитимного процесса из списка Living off the Land Binaries (LOLBins) с веб-ресурсом. Злоумышленники используют такие программы для загрузки необходимых файлов на узел или эксфильтрации mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_Via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger) mitre_attck_defense_evasion: PT-CR-2706: Suspicious_File_Creation_In_Sysvol: Создан подозрительный файл в одном из дочерних каталогов общего сетевого ресурса Sysvol: Startup, Shutdown, Logon, Logoff, Scripts. Эти каталоги используются для хранения исполняемых файлов и файлов сценариев, необходимых для управления групповыми политиками и другими настройками в Active Directory. Это может быть попыткой злоумышленника закрепиться в системе
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте содержимое сетевого трафика на наличие файлов и другого потенциально вредоносного содержимого, особенно поступающего с необычных или неизвестных доменов и IP-адресов. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте файлы, которые были перемещены в сетевое расположение или созданы в нем. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться в подозрительных операциях загрузки внешнего содержимого. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, которые обмениваются данными с недоверенными узлами или которые создают подозрительные файлы в системе. Также подозрительным может быть использование FTP и других утилит, которые обычно не применяются. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, или необычной передачи данных по известным протоколам, например FTP, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты. |
---|