T1204.002: Вредоносный файл
Злоумышленники могут рассчитывать на то, что пользователь откроет вредоносный файл и запустит выполнение кода. Чтобы мотивировать пользователя открыть такой файл, злоумышленники могут воспользоваться методами социальной инженерии. Как правило, пользователи совершают такие действия в результате применения злоумышленниками техники Целевой фишинг с вложением. Злоумышленники могут использовать различные типы файлов, в том числе с расширениями .doc, .pdf, .xls, .rtf, .scr, .exe, .lnk, .pif и .cpl.
Чтобы повысить вероятность открытия файла и запуска вредоносного кода, злоумышленники могут применять различные методы маскировки и обфускации файлов или данных. К таким методам относятся использование знакомых пользователю имен файлов и защита файла паролем с предоставлением пользователю инструкций по его открытию.
Запуск вредоносного файла обычно происходит вскоре после получения первоначального доступа, но может происходить и на других этапах атаки. Например, злоумышленник может разместить файл в общем каталоге или на рабочем столе пользователя, рассчитывая, что пользователь откроет его. Такая активность может также наблюдаться вскоре после применения техники Внутренний целевой фишинг.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
process_chains_and_logons: PT-CR-950: Suspicious_Office_Process_Chain: Подозрительная цепочка запуска процессов для приложений Microsoft Office или Adobe Acrobat vulnerabilities: PT-CR-1377: Foxit_PDF_Reader_RCE: Возможная эксплуатация уязвимости CVE-2022-28672 в Foxit PDF Reader, что может привести к выполнению произвольного кода mitre_attck_execution: PT-CR-2664: Outlook_VBA_Addin_Load: Процесс Outlook загрузил библиотеку "Microsoft VBA for Outlook Addin" (OUTLVBA.DLL). Это может свидетельствовать об использовании макросов VBA с целью выполнить произвольный код mitre_attck_execution: PT-CR-648: Suspicious_Child_From_Messenger_Process: Пользователь запустил процесс от родительского процесса мессенджера mitre_attck_execution: PT-CR-605: Office_File_With_Macros: Пользователь открыл документ Microsoft Offiсe с макросом mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_Via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла mitre_attck_execution: PT-CR-952: Suspicious_ShortHanded_Process_Started: Запуск исполняемых файлов с подозрительным именем, состоящим из одной или двух букв mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника mitre_attck_execution: PT-CR-345: Malicious_Office_Document: Обнаружена подозрительная последовательность запуска процесса приложением Microsoft Office mitre_attck_execution: PT-CR-1357: Suspicious_Directory_For_Process: Запуск исполняемого файла из подозрительной директории unix_mitre_attck_execution: PT-CR-1071: Unix_Connect_From_Home_Dir: Вызов сетевого API процессом, запущенным из домашнего каталога пользователя unix_mitre_attck_execution: PT-CR-482: Unix_Connect_From_Suspicious_Dir: Вызов сетевого API процессом, запущенным из подозрительного каталога mitre_attck_defense_evasion: PT-CR-933: Malicious_Activity_From_Office_Documents: Подозрительная активность офисных программ: создание исполняемых файлов, изменение ключей реестра, загрузка DLL-библиотеки COM-объекта Internet Explorer, создание потоков в адресном пространстве иных процессов unix_mitre_attck_defense_evasion: PT-CR-485: Unix_Run_Process_From_Suspicious_Directory: Запуск процесса из неожиданного каталога mitre_attck_persistence: PT-CR-2649: Outlook_Form_Exploitation: Приложение Outlook запустило подозрительный процесс после создания пользовательской формы в клиенте Outlook. Это может свидетельствовать о попытке злоумышленника закрепиться в системе или выполнить произвольный код antimalware: PT-CR-2412: XDR_Detected_Malicious_Object: PT XDR обнаружил нежелательный или вредоносный объект antimalware: PT-CR-805: Malicious_File_Is_Run: Обнаружен запуск вредоносного файла hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32" hacking_tools: PT-CR-350: Cobalt_Strike_SMB_Beacon: Создан или присоединен именованный канал, характерный для программного обеспечения Cobalt Strike hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32"
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, загружаемых на компьютер пользователя и затем запускаемых на нем. Посредством считывания данных в конечных точках или в сети можно обнаружить вредоносные события, выполняемые при открытии файла (например, попытки документа Microsoft Word или PDF установить связь с интернетом или создать powershell.exe). Пакетные файлы сами по себе не вредоносны, но их создание после установки ОС, особенно в каталоге Windows, является нетипичным. Данная аналитика отслеживает подозрительную активность, связанную с созданием пакетного файла в дереве каталогов C:\Windows\System32. В данном случае только действия администраторов будут вызывать ложные срабатывания. В Windows для отслеживания событий создания файла можно использовать событие с идентификатором 11 в Sysmon. В этом событии указывается идентификатор процесса, создавшего файл, что позволяет обнаружить события создания процесса (например, событие с идентификатором 1 в Sysmon) и определить, был ли файл загружен из внешней сети. В MacOS для отслеживания событий создания файла можно использовать утилиты, совместимые с фреймворком Apple Endpoint Security, включая File Monitor. Аналитика 1. Запись в пакетный файл в System32
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов и (или) командных строк, связанных с приложениями, которыми злоумышленники могут воспользоваться для получения первоначального доступа после совершения пользователем определенных действий. К ним относятся приложения для сжатия данных, в частности ZIP-архиваторы, которые могут использоваться для деобфускации или декодирования файлов или данных в полезных нагрузках. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Контроль приложений может предотвратить запуск исполняемых файлов, маскирующихся под другие файлы. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 можно включить различные правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально вредоносных исполняемых файлов (например, тех, которые были загружены и выполнены приложениями Office, интерпретаторами сценариев и почтовыми клиентами или которые не соответствуют определенным критериям распространенности, возраста или списка доверенных файлов). Примечание. Для определенных правил необходимо включить защиту с помощью облака . |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Информируйте пользователей о распространенных техниках фишинга и целевого фишинга, научите их распознавать потенциально вредоносные события. |
---|