T1204: Выполнение с участием пользователя
Злоумышленники могут использовать определенные действия пользователя для выполнения вредоносных операций. Чтобы мотивировать пользователя на открытие файла или ссылки, которые запустят вредоносный код, злоумышленники могут воспользоваться методами социальной инженерии. Как правило, пользователи совершают такие действия в результате фишинга.
Выполнение с участием пользователя обычно происходит вскоре после получения первоначального доступа, но может происходить и на других этапах атаки. Например, злоумышленник может разместить файл в общем каталоге или на рабочем столе пользователя, рассчитывая, что пользователь откроет его. Такая активность может также наблюдаться вскоре после применения техники Внутренний целевой фишинг.
Злоумышленники также могут обманом заставить пользователей выполнять определенные действия: например, запустить ПО для удаленного доступа, что позволит злоумышленнику напрямую управлять системой; выполнить в браузере вредоносный JavaScript-код, что упростит кражу сессионных куки; или скачать и запустить вредоносное ПО для реализации техники Выполнение с участием пользователя.
Например, мошенничество под видом технической поддержки может быть организовано через фишинг, вишинг или другие формы взаимодействия с пользователем. Злоумышленники могут комбинировать различные методы (такие как распространение поддельных бесплатных номеров или номеров колл-центров, которые направляют жертв на вредоносные веб-сайты) для доставки и выполнения полезной нагрузки, содержащей вредоносное ПО или ПО для удаленного доступа.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен обнаруживать передачу вредоносных файлов или следы их открытия и переходов по вредоносным ссылкам.
Примеры правил обнаружения PT NAD
- ATTACK [PTsecurity] Likely CVE-2017-11882 HTA payload (sid 10002948)
- METASPLOIT [PTsecurity] Regsvr32.exe (.sct) Application Whitelisting Bypass Server (sid 10001993)
Способы обнаружения
ID | DS0007 | Источник и компонент данных | Образ: Создание образа | Описание | Отслеживайте недавно созданные образы, с помощью которых злоумышленники могут использовать для эксфильтрации данных из системы существующую, легитимную стороннюю веб-службу, а не основной канал взаимодействия с командным сервером. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые интернет-подключения к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, а также странные попытки соединений такими файлами, как regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLL и msiexec.exe). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и проверяйте пакеты, связанные с сетевыми интернет-подключениями к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, а также странные попытки соединений такими файлами, как regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLL и msiexec.exe). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на выполнение кода при совершении пользователем определенных действий. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Запуск экземпляра | Описание | Отслеживайте активацию или вызов экземпляра (например, instance.start в журналах аудита GCP). |
---|
ID | DS0032 | Источник и компонент данных | Контейнер: Запуск контейнера | Описание | Отслеживайте активацию или вызов контейнера (например, командой |
---|
ID | DS0032 | Источник и компонент данных | Контейнер: Создание контейнера | Описание | Отслеживайте недавно созданные контейнеры, с помощью которых злоумышленники могут использовать для эксфильтрации данных из системы существующую, легитимную стороннюю веб-службу, а не основной канал взаимодействия с командным сервером. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы и (или) командные строки, недавно созданные приложениями, требующими взаимодействия с пользователем, которыми могли воспользоваться злоумышленники для первоначального доступа. К ним относятся приложения для сжатия данных, в частности, ZIP-архиваторы, которые могут использоваться для деобфускации или декодирования файлов или данных в полезных нагрузках. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте запуск приложений, требующих взаимодействия с пользователем, которыми злоумышленники могли воспользоваться для первоначального доступа, а также использованные аргументы командной строки. К ним относятся приложения для сжатия данных, в частности, для работы с ZIP-файлами, которые могут использоваться для деобфускации или декодирования файлов или данных в полезных нагрузках. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Создание экземпляра | Описание | Отслеживайте недавно созданные экземпляры, с помощью которых злоумышленники могут использовать для эксфильтрации данных из системы существующую, легитимную стороннюю веб-службу, а не основной канал взаимодействия с командным сервером. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, загруженные и запущенные на компьютере пользователя. Посредством считывания данных в конечных точках или в сети можно обнаружить вредоносные события, выполняемые при открытии файла (например, попытки документа Microsoft Word или PDF установить связь с интернетом или создать powershell.exe). Пакетные файлы сами по себе не вредоносны, но их создание после установки ОС, особенно в каталоге Windows, является нетипичным. Данный анализ отслеживает подозрительную активность, связанную с созданием пакетного файла в дереве каталогов C:\Windows\System32. В данном случае только действия администраторов будут вызывать ложные срабатывания. В Windows для отслеживания событий создания файла можно использовать событие с ИД 11 в Sysmon. В этом событии указывается идентификатор процесса, создавшего файл, что позволяет обнаружить события создания процесса (например, событие с ИД 1 в Sysmon) и определить, был ли файл загружен из внешней сети. В MacOS для отслеживания событий создания файла можно использовать утилиты, совместимые с фреймворком Apple Endpoint Security, включая File Monitor. Анализ 1. Запись в пакетный файл в System32
|
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Информируйте пользователей о распространенных техниках фишинга и целевого фишинга, научите их распознавать потенциально вредоносные события. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Контроль приложений может предотвратить запуск исполняемых файлов, маскирующихся под другие файлы. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 можно включить различные правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально вредоносных исполняемых файлов (например, тех, которые были загружены и выполнены приложениями Office, интерпретаторами сценариев и почтовыми клиентами или которые не соответствуют определенным критериям распространенности, возраста или списка доверенных файлов). Примечание: для определенных правил необходимо включить защиту с помощью облака . |
---|
ID | M1021 | Название | Ограничения для веб-контента | Описание | Для случаев, когда пользователь переходит по ссылке, заблокируйте по умолчанию или с помощью политики неизвестные и неиспользуемые файлы, которые не следует загружать, с целью защиты от некоторых векторов атак (.scr, .exe, .pif, .cpl и т. д.). Некоторые устройства сканирования загрузок могут открывать и анализировать файлы в сжатых и зашифрованных форматах (таких как zip и rar), которые могут использоваться для сокрытия вредоносных файлов. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Для случаев, когда пользователь переходит по ссылке, с целью блокировки активности можно использовать системы предотвращения вторжения в сеть и системы, предназначенные для сканирования и удаления вредоносных загрузок. |
---|