MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1106: Нативный API

Злоумышленники могут взаимодействовать с API операционной системы для выполнения вредоносных действий. Подобные нативные API обеспечивают вызов низкоуровневых служб ОС в ядре, например отвечающих за аппаратное обеспечение, устройства, память и процессы. Эти нативные API используются ОС во время загрузки системы (когда другие компоненты системы еще не инициализированы), а также для выполнения задач и запросов в штатном режиме.

Злоумышленники могут использовать эти функции API ОС для выполнения вредоносных действий. Как и интерпретаторы командной строки и сценариев, нативный API и его иерархия интерфейсов предоставляют механизмы для взаимодействия с различными компонентами атакуемой системы и их использования.

Функции нативного API (такие как NtCreateProcess) могут быть вызваны через системные вызовы (syscalls), однако эти функции также часто доступны для приложений пользовательского режима через интерфейсы и библиотеки. Например, такие функции, как CreateProcess() (API Windows) или fork() (GNU), позволяют запускать другие процессы из программ и сценариев. Это дает возможность запускать бинарные файлы, выполнять команды в интерпретаторе командной строки, загружать модули и выполнять множество других действий через вызовы API, поскольку существуют тысячи функций API для различных системных операций.

Для взаимодействия с нативными API также можно использовать программные фреймворки более высокого уровня, такие как Microsoft .NET и macOS Cocoa. Эти фреймворки обычно предоставляют языковые обертки/абстракции для функций API и призваны обеспечить простоту использования и портируемость кода.

Злоумышленники могут использовать ассемблер для прямого или косвенного вызова системных функций, пытаясь обойти такие механизмы защиты, как анализ по сигнатурам и перехват вызовов API в пользовательском режиме. Злоумышленники также могут попытаться нарушить работу систем защиты, связанных с отслеживанием вызовов API, — например, деактивировать мониторинг функций посредством отключения или перенастройки средств защиты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1207: DirtyVanity_Process_Injection: Обнаружена попытка обойти EDR с помощью утилиты Dirty Vanity
mitre_attck_execution: PT-CR-782: WinAPI_Access_from_Powershell: Обнаружен вызов функций Windows API из PowerShell
sap_suspicious_user_activity: PT-CR-254: SAPASABAP_GW_Sapxpg_call: Запуск SAPXPG

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Вызовы API Windows могут приводить к загрузке процессов или обращению к системным DLL, которые нужны для выполнения вызываемых функций (таких как ntdll.dll, kernel32.dll, advapi32.dll, user32.dll и gdi32.dll). Мониторинг загрузки DLL-библиотек, особенно аномальными, нетипичными или потенциально вредоносными процессами, позволяет выявить нецелевое использование API Windows. Несмотря на большое число ложных срабатываний, эти данные вкупе с другими индикаторами позволяют выявить вредоносную активность.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

При отслеживании вызовов API может генерироваться значительный объем данных. Для эффективной защиты нужно осуществлять сбор данных только при определенных условиях, в противном случае будет трудно выделить вредоносную активность среди множества легитимных вызовов API. Если при отслеживании API сопоставлять другие события с окружающими их вызовами функций API, можно получить дополнительный контекст, который поможет определить, связано ли событие с вредоносной активностью. Может оказаться достаточно сопоставить активность с иерархией процесса по его идентификатору.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Выявляйте и блокируйте потенциально вредоносное программное обеспечение, которое может быть запущено с помощью этой техники, используя инструменты контроля приложений, такие как Windows Defender Application Control, AppLocker или политики ограничения программного обеспечения, где это необходимо .

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10 включите правила Attack Surface Reduction (ASR), чтобы макросы Office VBA не вызывали Win32 API .