Техника на mitre.org

T1203: Эксплуатация уязвимостей в клиентском ПО

Злоумышленники могут эксплуатировать уязвимости в клиентских приложениях для выполнения кода. В программном обеспечении могут существовать уязвимости из-за применения небезопасных методов программирования, которые могут привести к непредвиденному поведению программы. Злоумышленники могут целенаправленно эксплуатировать определенные уязвимости с целью выполнения произвольного кода. Зачастую самыми ценными эксплойтами в арсенале злоумышленников являются те, которые можно использовать для выполнения кода на удаленной системе, поскольку с их помощью можно получить доступ к этой системе. Файлы, относящиеся к распространенным рабочим приложениям, привычны для пользователей и поэтому являются выгодной целью для исследования и разработки эксплойтов.

Существуют различные векторы для таких атак:

Браузеры

Веб-браузеры часто становятся мишенью для атак типа Теневая (drive-by) компрометация и Целевой фишинг со ссылкой. Конечные системы могут быть скомпрометированы при обычном просмотре веб-страниц или в результате того, что некоторые пользователи перенаправляются по ссылкам в фишинговых письмах на контролируемые злоумышленниками сайты, используемые для эксплуатации веб-браузера. Часто для активации эксплойта не требуется никаких действий со стороны пользователя.

Офисные приложения

Распространенные офисные и домашние приложения, такие как Microsoft Office, также подвергаются атакам посредством фишинга. Вредоносные файлы передаются напрямую в виде вложений или через ссылки для их загрузки. Для активации таких эксплойтов требуется, чтобы пользователь открыл документ или файл.

Распространенные приложения сторонних разработчиков

Эксплуатации могут подвергаться и другие приложения, которые часто используются или являются частью другого программного обеспечения, развернутого в атакуемой сети. Широко распространенные в корпоративной среде приложения, такие как Adobe Reader и Flash, регулярно становятся мишенью для злоумышленников, стремящихся получить доступ к системам. В зависимости от уязвимости и особенностей ПО, эксплойты могут как срабатывать в браузере, так и требовать от пользователя открытия зараженного файла. Например, некоторые эксплойты для Flash поставлялись в виде объектов в документах Microsoft Office.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT) vulnerabilities: PT-CR-2492: CVE_2024_29510_Ghostscript: Возможное выполнение кода с помощью уязвимости CVE-2024-29510. Это уязвимость форматной строки в Ghostscript версий до 10.03.1, которая позволяет обойти песочницу и выполнять произвольные команды. Уязвимость доступна через такие библиотеки, как ImageMagick vulnerabilities: PT-CR-892: Possible_CVE_2021_1647: Возможная эксплуатация уязвимости CVE-2021-1647 в Windows Defender vulnerabilities: PT-CR-1375: Windows_Contacts_RCE: Возможная эксплуатация уязвимости CVE-2022-44666 в Windows Contacts vulnerabilities: PT-CR-680: CVE_2022_26500_26501_Exploitation: Эксплуатация уязвимостей CVE-2022-26500 и CVE-2022-26501 vulnerabilities: PT-CR-2314: CVE_2024_21378_Outlook_RCE: Эксплуатация уязвимости CVE-2024-21378 в Outlook. Уязвимость позволяет выполнить произвольный код с помощью форм Outlook mitre_attck_execution: PT-CR-20: Suspicious_Process_Execution_Sequence: Обнаружена подозрительная последовательность запуска процессов на узле с ОС Windows unix_mitre_attck_execution: PT-CR-2283: Unix_Suspicious_Process_Execution_Sequence: Подозрительная последовательность запуска процессов на узле с ОС Linux mitre_attck_persistence: PT-CR-665: KeePass_Persistence: KeePass запустил подозрительный дочерний процесс. Старт такого процесса свидетельствует о попытке атакующего закрепиться в системе

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание аномальных процессов, например запуск интерпретаторов командной строки и сценариев из приложения, которое может являться объектом эксплуатации. Отслеживайте другие действия на конечных устройствах, которые могут указывать на компрометацию системы, в частности нетипичную активность браузера и приложений Office. Например, нетипичным может считаться запуск процессов изучения службой очереди печати. Это лишь один пример. На хосте может присутствовать любое количество процессов встроенных или сторонних приложений, выполняющих нетипичные или неизвестные (потенциально вредоносные) действия. Примечание. Аналитика 1 отслеживает запуск приложений Office (Word, Excel и PowerPoint) с подозрительными параметрами или из нестандартных каталогов. Аналитика 2 отслеживает создание приложениями Office аномальных дочерних процессов, в частности с подозрительными параметрами командной строки. Аналитика 1. Выполнение процессов приложениями Office `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND (Image= “\winword.exe” OR Image= “\excel.exe” OR Image= “\powerpnt.exe”) AND (CommandLine= “macro” OR CommandLine= “automation” OR CommandLine= “shellcode”) AND ParentCommandLine= “open”` Аналитика 2. Создание нетипичных дочерних процессов `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND (ParentImage= “\winword.exe” OR ParentImage= “\excel.exe” OR ParentImage= “\powerpnt.exe”) AND (Image != “\system32\” OR Image != “\program files”)`

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте создание аномальных процессов, например запуск интерпретаторов командной строки и сценариев из приложения, которое может являться объектом эксплуатации. Отслеживайте другие действия на конечных устройствах, которые могут указывать на компрометацию системы, в частности нетипичную активность браузера и приложений Office. Например, нетипичным может считаться запуск процессов изучения службой очереди печати. Это лишь один пример. На хосте может присутствовать любое количество процессов встроенных или сторонних приложений, выполняющих нетипичные или неизвестные (потенциально вредоносные) действия. Примечание. Аналитика 1 отслеживает запуск приложений Office (Word, Excel и PowerPoint) с подозрительными параметрами или из нестандартных каталогов. Аналитика 2 отслеживает создание приложениями Office аномальных дочерних процессов, в частности с подозрительными параметрами командной строки. Аналитика 1. Выполнение процессов приложениями Office `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND (Image= “\winword.exe” OR Image= “\excel.exe” OR Image= “\powerpnt.exe”) AND (CommandLine= “macro” OR CommandLine= “automation” OR CommandLine= “shellcode”) AND ParentCommandLine= “open”` Аналитика 2. Создание нетипичных дочерних процессов `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND (ParentImage= “\winword.exe” OR ParentImage= “\excel.exe” OR ParentImage= “\powerpnt.exe”) AND (Image != “\system32\” OR Image != “\program files”)`
DS0015	Журналы приложений: Содержимое журналов приложений	Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса.

Меры противодействия

ID	M1050	Название	Защита от эксплойтов	Описание	Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей . Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт . Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений.

ID	M1048	Название	Изоляция и помещение в песочницу приложений	Описание	Для защиты от некоторых последствий эксплуатации можно использовать браузерные песочницы, однако надо помнить, что существуют способы выхода за пределы песочницы . Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов .

ID	Название	Описание
M1050	Защита от эксплойтов	Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей . Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт . Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений.
M1048	Изоляция и помещение в песочницу приложений	Для защиты от некоторых последствий эксплуатации можно использовать браузерные песочницы, однако надо помнить, что существуют способы выхода за пределы песочницы . Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов .