T1105: Передача инструментов из внешней сети
Злоумышленники могут перемещать инструменты или файлы из внешней системы в скомпрометированную среду. Инструменты или файлы могут быть перенесены в сеть жертвы из внешней системы, контролируемой злоумышленниками, по каналу управления или по альтернативным протоколам, таким как FTP. Появившись в системе, злоумышленники могут также передавать инструменты на различные устройства жертв в скомпрометированной системе (см. Передача инструментов внутри периметра).
В Windows для загрузки инструментов злоумышленники могут использовать различные утилиты, такие как copy
, finger
, certutil, а также команды PowerShell, например IEX(New-Object Net.WebClient).downloadString()
и Invoke-WebRequest
. В системах Linux и macOS также существует большое количество утилит, таких как curl
, scp
, sftp
, tftp
, rsync
, finger
и wget
.
Для загрузки инструментов на хосты жертв злоумышленники также могут использовать установщики и диспетчеры пакетов, такие как yum
или winget
. Злоумышленники также используют функции файловых приложений, например обработчик протокола Windows search-ms
, для доставки вредоносных файлов жертвам через удаленный поиск файлов, инициируемый пользователем (обычно после взаимодействия пользователя с фишинговыми файлами-приманками).
Файлы также могут передаваться с помощью различных веб-служб, а также встроенных или имеющихся в системе жертвы инструментов. В некоторых случаях для передачи файлов на системы жертв злоумышленники могут использовать службы, которые синхронизируются между веб-клиентом и локальным клиентом, такие как Dropbox или OneDrive. Например, скомпрометировав облачную учетную запись и войдя на веб-портал службы, злоумышленник может запустить автоматический процесс синхронизации, который перенесет файл на компьютер жертвы..
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil"
mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger)
hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager
hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity
mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла
mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника
mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass
mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла
mitre_attck_command_and_control: PT-CR-1816: Windows_Desktopimgdownldr_ingress_tool_transfer: Использование встроенной утилиты desktopimgdownldr с параметрами, которые могут применяться для доставки инструментов атаки
mitre_attck_command_and_control: PT-CR-1913: File_Copy_via_RemoteAccess_Tool: Создание подозрительного файла с помощью утилиты для удаленного доступа
microsoft_mecm: PT-CR-1876: MECM_Distribute_content: Передача пакета или приложения на точку распространения в MECM
mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы
mitre_attck_lateral_movement: PT-CR-224: Remote_Copying_Malicious_File: Обнаружена попытка скопировать потенциально вредоносный файл следующих расширений: hta, ps1, py, vbe, cs, csproj, proj, com, cmd, bat, vbs, js, xsl, sct
mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла
mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов
mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов
mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender
mitre_attck_command_and_control: PT-CR-845: Download_via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell
mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов
mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item
hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe
hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Обнаружен запуск загрузчика Cobalt Strike
unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_by_Daemons: Запуск утилиты для передачи файлов от имени служебной учетной записи
hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin"
hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application
hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32"
hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32"
hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI
hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Обнаружены множественные попытки проверки доставки полезной нагрузки с помощью Cobalt Strike
hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Обнаружено скачивание полезной нагрузки с помощью зашифрованной команды PowerShell
mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя
mssql_database: PT-CR-408: MSSQL_create_file_in_system: Попытка создать файл на жестком диске через базу данных
pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD)
unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах
kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку
kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение
kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами или после которых создаются подозрительные файлы в системе. Также подозрительным может быть использование FTP и других утилит, которые обычно не применяются. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте содержимое сетевого трафика на наличие файлов и другого потенциально вредоносного содержимого, особенно поступающего с необычных или неизвестных доменов и IP-адресов. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться в подозрительных операциях загрузки внешнего содержимого. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте файлы, которые были перемещены в сетевое расположение или созданы в нем. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для определенных вредоносных программ злоумышленника, или необычной передачи данных по известным протоколам, например FTP, могут быть использованы для снижения активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Вероятно, со временем злоумышленники будут менять сигнатуры инструментов C2 или строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты. |
---|