T1127: Выполнение через доверенные утилиты разработчика
Злоумышленники могут использовать доверенные утилиты разработчика для запуска полезной нагрузки. Существует множество утилит для разработки программного обеспечения, которые можно использовать для выполнения кода в различных формах при разработке, отладке и реверс-инжиниринге. Часто эти утилиты подписаны легитимными сертификатами, что позволяет им работать в системе и инициировать выполнение вредоносного кода через доверенный процесс — таким способом может быть обойден контроль приложений.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT) mitre_attck_execution: PT-CR-954: Tttracer_LOLBin: Обход средств защиты с помощью tttracer.exe mitre_attck_defense_evasion: PT-CR-603: IEExec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows ieexec.exe (недокументированное приложение Microsoft .NET Framework, которое можно использовать для запуска других управляемых приложений, запускаемых с помощью URL-адреса) mitre_attck_defense_evasion: PT-CR-1088: Devinit_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью утилиты Microsoft Visual Studio devinit.exe (входит в состав SDK для Visual Studio) mitre_attck_defense_evasion: PT-CR-2569: LoLBas_VS_Nodejstools: Запущен процесс с помощью процесса Microsoft.NodejsTools.PressAnyKey.exe из пакета инструментов Microsoft Visual Studio Node.js. Это может быть признаком использования утилиты для атаки Living off the Land mitre_attck_defense_evasion: PT-CR-1776: Browser_LOLBin: Запуск процесса с помощью доверенного ПО mitre_attck_defense_evasion: PT-CR-194: Csc_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows csc.exe (используется .NET для компиляции кода C#) mitre_attck_defense_evasion: PT-CR-652: WDAC_Bypass_Via_Dbgsrv: Пользователь запустил отладчик приложений
Подтехники
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова утилит, чтобы определить происхождение и назначение выполняемого бинарного файла. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов MSBuild.exe. Сопоставляйте недавние вызовы этих бинарных файлов с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность. Доверенные утилиты разработчика, такие как MSBuild, могут использоваться для выполнения вредоносного кода с повышенным уровнем привилегий. Этот анализ отслеживает все случаи запуска процесса msbuild.exe, который выполняет любой код на языке C#, записанный в XML-документе, и msxsl.exe, который обрабатывает спецификации XSLT для XML-файлов и выполняет встроенные в XSL-файл сценарии, написанные на различных языках. Как правило, оба этих файла используются только в Visual Studio. Анализ 1. MSBuild и msxsl
|
|---|
Меры противодействия
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | MSBuild.exe может быть не нужен в среде и должен быть удален, если он не используется. |
|---|
| ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений, настроенный на блокировку выполнения |
|---|