T1106: Нативный API
Злоумышленники могут взаимодействовать с API операционной системы для выполнения вредоносных действий. Подобные нативные API обеспечивают вызов низкоуровневых служб ОС в ядре, например отвечающих за аппаратное обеспечение, устройства, память и процессы. Эти нативные API используются ОС во время загрузки системы (когда другие компоненты системы еще не инициализированы), а также для выполнения задач и запросов в штатном режиме.
Злоумышленники могут использовать эти функции API ОС для выполнения вредоносных действий. Как и интерпретаторы командной строки и сценариев, нативный API и его иерархия интерфейсов предоставляют механизмы для взаимодействия с различными компонентами атакуемой системы и их использования.
Функции нативного API (такие как NtCreateProcess
) могут быть вызваны через системные вызовы (syscalls), однако эти функции также часто доступны для приложений пользовательского режима через интерфейсы и библиотеки. Например, такие функции, как CreateProcess()
(API Windows) или fork()
(GNU), позволяют запускать другие процессы из программ и сценариев. Это дает возможность запускать бинарные файлы, выполнять команды в интерпретаторе командной строки, загружать модули и выполнять множество других действий через вызовы API, поскольку существуют тысячи функций API для различных системных операций.
Для взаимодействия с нативными API также можно использовать программные фреймворки более высокого уровня, такие как Microsoft .NET и macOS Cocoa. Эти фреймворки обычно предоставляют языковые обертки/абстракции для функций API и призваны обеспечить простоту использования и портируемость кода.
Злоумышленники могут использовать ассемблер для прямого или косвенного вызова системных функций, пытаясь обойти такие механизмы защиты, как анализ по сигнатурам и перехват вызовов API в пользовательском режиме. Злоумышленники также могут попытаться нарушить работу систем защиты, связанных с отслеживанием вызовов API, — например, деактивировать мониторинг функций посредством отключения или перенастройки средств защиты.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1207: DirtyVanity_Process_Injection: Обнаружена попытка обойти EDR с помощью утилиты Dirty Vanity
mitre_attck_execution: PT-CR-782: WinAPI_Access_from_Powershell: Обнаружен вызов функций Windows API из PowerShell
sap_suspicious_user_activity: PT-CR-254: SAPASABAP_GW_Sapxpg_call: Запуск SAPXPG
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Вызовы API Windows могут приводить к загрузке процессов или обращению к системным DLL, которые нужны для выполнения вызываемых функций (таких как ntdll.dll, kernel32.dll, advapi32.dll, user32.dll и gdi32.dll). Мониторинг загрузки DLL-библиотек, особенно аномальными, нетипичными или потенциально вредоносными процессами, позволяет выявить нецелевое использование API Windows. Несмотря на большое число ложных срабатываний, эти данные вкупе с другими индикаторами позволяют выявить вредоносную активность. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | При отслеживании вызовов API может генерироваться значительный объем данных. Для эффективной защиты нужно осуществлять сбор данных только при определенных условиях, в противном случае будет трудно выделить вредоносную активность среди множества легитимных вызовов API. Если при отслеживании API сопоставлять другие события с окружающими их вызовами функций API, можно получить дополнительный контекст, который поможет определить, связано ли событие с вредоносной активностью. Может оказаться достаточно сопоставить активность с иерархией процесса по его идентификатору. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Выявляйте и блокируйте потенциально вредоносное программное обеспечение, которое может быть запущено с помощью этой техники, используя инструменты контроля приложений, такие как Windows Defender Application Control, AppLocker или политики ограничения программного обеспечения, где это необходимо . |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 включите правила Attack Surface Reduction (ASR), чтобы макросы Office VBA не вызывали Win32 API . |
---|