T1105: Передача инструментов из внешней сети
Злоумышленники могут перемещать инструменты или файлы из внешней системы в скомпрометированную среду. Инструменты или файлы могут быть перенесены в сеть жертвы из внешней системы, контролируемой злоумышленниками, по каналу управления или по альтернативным протоколам, таким как FTP. Появившись в системе, злоумышленники могут также передавать инструменты на различные устройства жертв в скомпрометированной системе (см. Передача инструментов внутри периметра).
В Windows для загрузки инструментов злоумышленники могут использовать различные утилиты, такие как copy
, finger
, certutil, а также команды PowerShell, например IEX(New-Object Net.WebClient).downloadString()
и Invoke-WebRequest
. В системах Linux и macOS также существует большое количество утилит, таких как curl
, scp
, sftp
, tftp
, rsync
, finger
и wget
.
Для загрузки инструментов на хосты жертв злоумышленники также могут использовать установщики и диспетчеры пакетов, такие как yum
или winget
. Злоумышленники также используют функции файловых приложений, например обработчик протокола Windows search-ms
, для доставки вредоносных файлов жертвам через удаленный поиск файлов, инициируемый пользователем (обычно после взаимодействия пользователя с фишинговыми файлами-приманками).
Файлы также могут передаваться с помощью различных веб-служб, а также встроенных или имеющихся в системе жертвы инструментов. В некоторых случаях для передачи файлов на системы жертв злоумышленники могут использовать службы, которые синхронизируются между веб-клиентом и локальным клиентом, такие как Dropbox или OneDrive. Например, скомпрометировав облачную учетную запись и войдя на веб-портал службы, злоумышленник может запустить автоматический процесс синхронизации, который перенесет файл на компьютер жертвы..
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение mitre_attck_defense_evasion: PT-CR-2706: Suspicious_File_Creation_In_Sysvol: Создан подозрительный файл в одном из дочерних каталогов общего сетевого ресурса Sysvol: Startup, Shutdown, Logon, Logoff, Scripts. Эти каталоги используются для хранения исполняемых файлов и файлов сценариев, необходимых для управления групповыми политиками и другими настройками в Active Directory. Это может быть попыткой злоумышленника закрепиться в системе mitre_attck_initial_access: PT-CR-3032: Suspicious_Living_Off_Trusted_Sites_Usage: Взаимодействие с легитимными сайтами из группы LOTS (Living Off Trusted Sites): создание потока данных после обращения к сайту LOTS или DNS-запрос с последующим запуском дочернего процесса, установкой сетевого подключения или созданием файла с подозрительным расширением. Злоумышленники используют сайты LOTS для фишинга, эксфильтрации, взаимодействия с командным сервером и загрузки утилит на узел жертвы mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя pt_ngfw: PT-CR-2933: NGFW_Antivirus_Alert: Антивирус в PT NGFW обнаружил зараженный файл в передаваемом трафике и предотвратил его передачу mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_Via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger) pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD) mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil" mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item mssql_database: PT-CR-408: MSSQL_Create_File_In_System: Попытка создать файл на жестком диске через базу данных unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_Via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах microsoft_mecm: PT-CR-1876: MECM_Distribute_Content: Передача пакета или приложения на точку распространения в MECM mitre_attck_exfiltration: PT-CR-3019: Cloud_Client_Synchronization_Folder_Usage: Действие с файлом в директории, выполняющей автоматическую синхронизацию с облачным хранилищем. Злоумышленники используют такие директории для эксфильтрации или загрузки необходимых инструментов на узел mitre_attck_exfiltration: PT-CR-3047: Bluetooth_File_Transfer: Подключение к именованному каналу с помощью утилиты для передачи файлов по Bluetooth. Это может быть попыткой злоумышленников произвести эксфильтрацию конфиденциальной информации или скачать необходимые инструменты mitre_attck_exfiltration: PT-CR-3018: Web_Service_Interaction_Via_LOLBins: Взаимодействие легитимного процесса из списка Living off the Land Binaries (LOLBins) с веб-ресурсом. Злоумышленники используют такие программы для загрузки необходимых файлов на узел или эксфильтрации mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов mitre_attck_command_and_control: PT-CR-1816: Windows_Desktopimgdownldr_Ingress_Tool_Transfer: Использование встроенной утилиты desktopimgdownldr с параметрами, которые могут применяться для доставки инструментов атаки mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов mitre_attck_command_and_control: PT-CR-845: Download_Via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender unix_mitre_attck_command_and_control: PT-CR-2639: Unix_Possible_GS_Netcat_Usage: Попытка подключиться к внешнему узлу на порт назначения 443. Это может быть признаком использования утилиты gs-netcat для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_By_Daemons: Запущена утилита для передачи файлов от имени служебной учетной записи unix_mitre_attck_command_and_control: PT-CR-2648: Unix_Possible_GSocket_Usage: Попытка подключения к внешнему узлу через порт 443 с помощью утилиты из пакета Global Socket Toolkit (gsocket, blitz, gs-mount или gs-sftp). Это может быть действием злоумышленника с целью сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра pt_cs: PT-CR-2851: PTCS_Download_Tools_Use: Сетевая активность утилиты, используемой для отправки файлов из внешнего источника в скомпрометированную систему hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32" hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Множественные попытки проверки доставки полезной нагрузки с помощью программного обеспечения Cobalt Strike hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin" hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager hacking_tools: PT-CR-3049: ToxicEye_Usage: Подозрительная активность, схожая с активностью трояна удаленного доступа ToxicEye, использующего Telegram в качестве управляющего сервера. Признаки подозрительной активности: DNS-запрос к API Telegram, создание характерных динамических библиотек, закрепление в системе путем создания запланированной задачи или копии процесса в другом каталоге либо путем получения доступа к файлам, содержащим конфиденциальные данные hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32" hacking_tools: PT-CR-2756: Subrule_WannaMine_Usage: Признаки заражения криптомайнером WannaMine. К таким признакам относятся подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также выполнение вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-2692: Covenant_File_Upload: Загружен файл с помощью С2-фреймворка Covenant hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Пользователь скачал полезную нагрузку с помощью зашифрованной команды PowerShell hacking_tools: PT-CR-2757: WannaMine_Usage: Подозрительная активность, схожая с активностью криптомайнера WannaMine. Признаками подозрительной активности являются подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также запуск вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application remote_work: PT-CR-1913: File_Copy_Via_RemoteAccess_Tool: Создан подозрительный файл с помощью утилиты для удаленного доступа antimalware: PT-CR-722: Sandbox_Full_Scan_Malware: Система PT Sandbox обнаружила нежелательный или вредоносный объект
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться в подозрительных операциях загрузки внешнего содержимого. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте содержимое сетевого трафика на наличие файлов и другого потенциально вредоносного содержимого, особенно поступающего с необычных или неизвестных доменов и IP-адресов. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, которые обмениваются данными с недоверенными узлами или которые создают подозрительные файлы в системе. Также подозрительным может быть использование FTP и других утилит, которые обычно не применяются. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте файлы, которые были перемещены в сетевое расположение или созданы в нем. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, или необычной передачи данных по известным протоколам, например FTP, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты. |
---|