MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1129: Общие модули

Злоумышленники могут запускать полезную нагрузку, загружая общие модули. Общие модули — это исполняемые файлы, которые загружаются в процессы для обеспечения доступа к многократно используемому коду, например к специальным пользовательским функциям или вызову функций API ОС (то есть нативного API).

Злоумышленники могут использовать эти функциональные возможности для выполнения произвольной полезной нагрузки в системе жертвы. Например, злоумышленники могут выделить функции своего вредоносного ПО в отдельные модули, поместив их в общие объекты, выполняющие определенные задачи, такие как управление взаимодействием с инфраструктурой командных серверов или выполнение определенных действий на атакуемом объекте.

Загрузчик модулей в Linux и macOS может загружать и выполнять общие объекты из произвольных локальных расположений. Эта функциональность находится в файле dlfcn.h в таких функциях, как dlopen и dlsym. Хотя macOS может выполнять файлы .so, обычно используются файлы .dylib.

Загрузчику модулей Windows можно указать, что нужно загрузить DLL-библиотеки, находящиеся по произвольным локальным путям или произвольным UNC-путям в сети. Эта функциональность находится в библиотеке NTDLL.dll и входит в нативный API Windows, который вызывается такими функциями, как LoadLibrary, во время выполнения.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-642: DLL_Load_from_NET_Assembly: Процесс использовал динамическую библиотеку из каталога C:\windows\assembly
mitre_attck_execution: PT-CR-644: Powershell_Library_Loaded_into_Process: Процесс инициировал загрузку окружения PowerShell в свое адресное пространство
mitre_attck_execution: PT-CR-646: Run_Malicious_Msbuild_Project: Обнаружена попытка загрузить .NET-сборку по пути с маской microsoft.build
mitre_attck_defense_evasion: PT-CR-1207: DirtyVanity_Process_Injection: Обнаружена попытка обойти EDR с помощью утилиты Dirty Vanity
mitre_attck_execution: PT-CR-1751: Image_Loaded_From_External_Location: Процесс загрузил образ исполняемого файла с удаленного узла
hacking_tools: PT-CR-1726: Havoc_Powerpick: В процесс werfault.exe внедрился подозрительный процесс, что может быть признаком использования Havoc для скрытого исполнения команд PowerShell
mitre_attck_defense_evasion: PT-CR-933: Malicious_Activity_From_Office_Documents: Подозрительная активность офисных программ: создание исполняемых файлов, изменение ключей реестра, загрузка DLL-библиотеки COM-объекта Internet Explorer, создание потоков в адресном пространстве иных процессов
hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Обнаружен запуск загрузчика Cobalt Strike
hacking_tools: PT-CR-756: DSInternals_Usage: Обнаружено выполнение потенциально вредоносного командлета PowerShell из модуля DSInternals
mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory
mitre_attck_cred_access: PT-CR-303: Comsvcs_Minidump_Usage: Пользователь сохранил информацию процесса lsass через библиотеку comsvcs.dll

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых можно запустить полезную нагрузку посредством загрузки общих модулей.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

При отслеживании загрузки модулей может генерироваться значительный объем данных. Для эффективной защиты нужно осуществлять сбор данных только при определенных условиях, в противном случае будет трудно выделить вредоносную активность среди множества легитимных вызовов функций для загрузки общих модулей. Легитимное ПО, как правило, загружает только стандартные, встроенные или системные модули, поэтому загрузки других, неизвестных модулей должны рассматриваться как подозрительные.

Ограничив загрузку модулей доверенными каталогами, такими как %SystemRoot% и %ProgramFiles% в Windows, вы предотвратите их загрузку из небезопасных источников.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Выявляйте и блокируйте выполняемые с помощью этой техники потенциально вредоносные программы, используя средства контроля приложений, которые могут предотвратить загрузку неизвестных модулей.