T1127: Выполнение через доверенные утилиты разработчика

Злоумышленники могут использовать доверенные утилиты разработчика для запуска полезной нагрузки. Существует множество утилит для разработки программного обеспечения, которые можно использовать для выполнения кода в различных формах при разработке, отладке и реверс-инжиниринге. Часто эти утилиты подписаны легитимными сертификатами, что позволяет им работать в системе и инициировать выполнение вредоносного кода через доверенный процесс — таким способом может быть обойден контроль приложений.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1088: Devinit_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью утилиты Microsoft Visual Studio devinit.exe (входит в состав SDK для Visual Studio) mitre_attck_defense_evasion: PT-CR-652: WDAC_Bypass_Via_Dbgsrv: Пользователь запустил отладчик приложений mitre_attck_defense_evasion: PT-CR-2569: LoLBas_VS_Nodejstools: Запущен процесс с помощью процесса Microsoft.NodejsTools.PressAnyKey.exe из пакета инструментов Microsoft Visual Studio Node.js. Это может быть признаком использования утилиты для атаки Living off the Land mitre_attck_defense_evasion: PT-CR-603: IEExec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows ieexec.exe (недокументированное приложение Microsoft .NET Framework, которое можно использовать для запуска других управляемых приложений, запускаемых с помощью URL-адреса) mitre_attck_defense_evasion: PT-CR-1776: Browser_LOLBin: Запуск процесса с помощью доверенного ПО mitre_attck_defense_evasion: PT-CR-194: Csc_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows csc.exe (используется .NET для компиляции кода C#) vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT) mitre_attck_execution: PT-CR-954: Tttracer_LOLBin: Обход средств защиты с помощью tttracer.exe

Подтехники

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова утилит, чтобы определить происхождение и назначение выполняемого бинарного файла.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов MSBuild.exe. Сопоставляйте недавние вызовы этих бинарных файлов с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность.

Доверенные утилиты разработчика, такие как MSBuild, могут использоваться для выполнения вредоносного кода с повышенным уровнем привилегий. Этот анализ отслеживает все случаи запуска процесса msbuild.exe, который выполняет любой код на языке C#, записанный в XML-документе, и msxsl.exe, который обрабатывает спецификации XSLT для XML-файлов и выполняет встроенные в XSL-файл сценарии, написанные на различных языках. Как правило, оба этих файла используются только в Visual Studio.

Анализ 1. MSBuild и msxsl

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")(Image="C:\Program Files (x86)\Microsoft Visual Studio\\bin\MSBuild.exe" OR Image="C:\Windows\Microsoft.NET\Framework\msbuild.exe" OR Image="C:\users\\appdata\roaming\microsoft\msxsl.exe") ParentImage!="\Microsoft Visual Studio*")

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений, настроенный на блокировку выполнения msbuild.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. Например, в Windows 10, Windows Server 2016 и более поздних версий для блокировки приложения msbuild.exe и предотвращения злоупотреблений можно применять правила политики Windows Defender Application Control (WDAC).

IDM1042НазваниеОтключение или удаление компонента или программыОписание

MSBuild.exe может быть не нужен в среде и должен быть удален, если он не используется.