PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1204: Выполнение с участием пользователя

Злоумышленники могут использовать определенные действия пользователя для выполнения вредоносных операций. Чтобы мотивировать пользователя на открытие файла или ссылки, которые запустят вредоносный код, злоумышленники могут воспользоваться методами социальной инженерии. Как правило, пользователи совершают такие действия в результате фишинга.

Выполнение с участием пользователя обычно происходит вскоре после получения первоначального доступа, но может происходить и на других этапах атаки. Например, злоумышленник может разместить файл в общем каталоге или на рабочем столе пользователя, рассчитывая, что пользователь откроет его. Такая активность может также наблюдаться вскоре после применения техники Внутренний целевой фишинг.

Злоумышленники также могут обманом заставить пользователей выполнять определенные действия: например, запустить ПО для удаленного доступа, что позволит злоумышленнику напрямую управлять системой; выполнить в браузере вредоносный JavaScript-код, что упростит кражу сессионных куки; или скачать и запустить вредоносное ПО для реализации техники Выполнение с участием пользователя.

Например, мошенничество под видом технической поддержки может быть организовано через фишинг, вишинг или другие формы взаимодействия с пользователем. Злоумышленники могут комбинировать различные методы (такие как распространение поддельных бесплатных номеров или номеров колл-центров, которые направляют жертв на вредоносные веб-сайты) для доставки и выполнения полезной нагрузки, содержащей вредоносное ПО или ПО для удаленного доступа.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен обнаруживать передачу вредоносных файлов или следы их открытия и переходов по вредоносным ссылкам.

Примеры правил обнаружения PT NAD

  • ATTACK [PTsecurity] Likely CVE-2017-11882 HTA payload (sid 10002948)
  • METASPLOIT [PTsecurity] Regsvr32.exe (.sct) Application Whitelisting Bypass Server (sid 10001993)

Способы обнаружения

IDDS0007Источник и компонент данныхОбраз: Создание образаОписание

Отслеживайте недавно созданные образы, с помощью которых злоумышленники могут использовать для эксфильтрации данных из системы существующую, легитимную стороннюю веб-службу, а не основной канал взаимодействия с командным сервером.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые интернет-подключения к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, а также странные попытки соединений такими файлами, как regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLL и msiexec.exe).

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и проверяйте пакеты, связанные с сетевыми интернет-подключениями к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, а также странные попытки соединений такими файлами, как regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLL и msiexec.exe).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на выполнение кода при совершении пользователем определенных действий.

IDDS0030Источник и компонент данныхЭкземпляр: Запуск экземпляраОписание

Отслеживайте активацию или вызов экземпляра (например, instance.start в журналах аудита GCP).

IDDS0032Источник и компонент данныхКонтейнер: Запуск контейнераОписание

Отслеживайте активацию или вызов контейнера (например, командой docker start или docker restart).

IDDS0032Источник и компонент данныхКонтейнер: Создание контейнераОписание

Отслеживайте недавно созданные контейнеры, с помощью которых злоумышленники могут использовать для эксфильтрации данных из системы существующую, легитимную стороннюю веб-службу, а не основной канал взаимодействия с командным сервером.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы и (или) командные строки, недавно созданные приложениями, требующими взаимодействия с пользователем, которыми могли воспользоваться злоумышленники для первоначального доступа. К ним относятся приложения для сжатия данных, в частности, ZIP-архиваторы, которые могут использоваться для деобфускации или декодирования файлов или данных в полезных нагрузках.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте запуск приложений, требующих взаимодействия с пользователем, которыми злоумышленники могли воспользоваться для первоначального доступа, а также использованные аргументы командной строки. К ним относятся приложения для сжатия данных, в частности, для работы с ZIP-файлами, которые могут использоваться для деобфускации или декодирования файлов или данных в полезных нагрузках.

IDDS0030Источник и компонент данныхЭкземпляр: Создание экземпляраОписание

Отслеживайте недавно созданные экземпляры, с помощью которых злоумышленники могут использовать для эксфильтрации данных из системы существующую, легитимную стороннюю веб-службу, а не основной канал взаимодействия с командным сервером.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, загруженные и запущенные на компьютере пользователя. Посредством считывания данных в конечных точках или в сети можно обнаружить вредоносные события, выполняемые при открытии файла (например, попытки документа Microsoft Word или PDF установить связь с интернетом или создать powershell.exe).

Пакетные файлы сами по себе не вредоносны, но их создание после установки ОС, особенно в каталоге Windows, является нетипичным. Данный анализ отслеживает подозрительную активность, связанную с созданием пакетного файла в дереве каталогов C:\Windows\System32. В данном случае только действия администраторов будут вызывать ложные срабатывания.

В Windows для отслеживания событий создания файла можно использовать событие с ИД 11 в Sysmon. В этом событии указывается идентификатор процесса, создавшего файл, что позволяет обнаружить события создания процесса (например, событие с ИД 1 в Sysmon) и определить, был ли файл загружен из внешней сети.

В MacOS для отслеживания событий создания файла можно использовать утилиты, совместимые с фреймворком Apple Endpoint Security, включая File Monitor.

Анализ 1. Запись в пакетный файл в System32

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="11") file_path="system32" AND file_extension=".bat"

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Информируйте пользователей о распространенных техниках фишинга и целевого фишинга, научите их распознавать потенциально вредоносные события.

IDM1038НазваниеЗащита от выполненияОписание

Контроль приложений может предотвратить запуск исполняемых файлов, маскирующихся под другие файлы.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10 можно включить различные правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально вредоносных исполняемых файлов (например, тех, которые были загружены и выполнены приложениями Office, интерпретаторами сценариев и почтовыми клиентами или которые не соответствуют определенным критериям распространенности, возраста или списка доверенных файлов). Примечание: для определенных правил необходимо включить защиту с помощью облака .

IDM1021НазваниеОграничения для веб-контентаОписание

Для случаев, когда пользователь переходит по ссылке, заблокируйте по умолчанию или с помощью политики неизвестные и неиспользуемые файлы, которые не следует загружать, с целью защиты от некоторых векторов атак (.scr, .exe, .pif, .cpl и т. д.). Некоторые устройства сканирования загрузок могут открывать и анализировать файлы в сжатых и зашифрованных форматах (таких как zip и rar), которые могут использоваться для сокрытия вредоносных файлов.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Для случаев, когда пользователь переходит по ссылке, с целью блокировки активности можно использовать системы предотвращения вторжения в сеть и системы, предназначенные для сканирования и удаления вредоносных загрузок.