T1204.002: Вредоносный файл

Злоумышленники могут рассчитывать на то, что пользователь откроет вредоносный файл и запустит выполнение кода. Чтобы мотивировать пользователя открыть такой файл, злоумышленники могут воспользоваться методами социальной инженерии. Как правило, пользователи совершают такие действия в результате применения злоумышленниками техники Целевой фишинг с вложением. Злоумышленники могут использовать различные типы файлов, в том числе с расширениями .doc, .pdf, .xls, .rtf, .scr, .exe, .lnk, .pif и .cpl.

Чтобы повысить вероятность открытия файла и запуска вредоносного кода, злоумышленники могут применять различные методы маскировки и обфускации файлов или данных. К таким методам относятся использование знакомых пользователю имен файлов и защита файла паролем с предоставлением пользователю инструкций по его открытию.

Запуск вредоносного файла обычно происходит вскоре после получения первоначального доступа, но может происходить и на других этапах атаки. Например, злоумышленник может разместить файл в общем каталоге или на рабочем столе пользователя, рассчитывая, что пользователь откроет его. Такая активность может также наблюдаться вскоре после применения техники Внутренний целевой фишинг.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_execution: PT-CR-1071: Unix_Connect_From_Home_Dir: Вызов сетевого API процессом, запущенным из домашнего каталога пользователя unix_mitre_attck_execution: PT-CR-482: Unix_Connect_From_Suspicious_Dir: Вызов сетевого API процессом, запущенным из подозрительного каталога process_chains_and_logons: PT-CR-950: Suspicious_Office_Process_Chain: Подозрительная цепочка запуска процессов для приложений Microsoft Office или Adobe Acrobat hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32" hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application hacking_tools: PT-CR-2870: PhantomCore_Tools_Usage: Активность, характерная для трояна удаленного доступа PhantomRAT или его загрузчика PhantomDL. Признаки активности: DNS-запросы к доменам для определения публичного IP-адреса, загрузка библиотек для работы с WMI и сетевой конфигурацией или запуск дочернего процесса для получения домена пользователя от процесса с двойным расширением hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32" hacking_tools: PT-CR-350: Cobalt_Strike_SMB_Beacon: Создан или присоединен именованный канал, характерный для программного обеспечения Cobalt Strike mitre_attck_defense_evasion: PT-CR-933: Malicious_Activity_From_Office_Documents: Подозрительная активность офисных программ: создание исполняемых файлов, изменение ключей реестра, загрузка DLL-библиотеки COM-объекта Internet Explorer, создание потоков в адресном пространстве иных процессов vulnerabilities: PT-CR-1377: Foxit_PDF_Reader_RCE: Возможная эксплуатация уязвимости CVE-2022-28672 в Foxit PDF Reader, что может привести к выполнению произвольного кода unix_mitre_attck_defense_evasion: PT-CR-485: Unix_Run_Process_From_Suspicious_Directory: Запуск процесса из неожиданного каталога mitre_attck_execution: PT-CR-2664: Outlook_VBA_Addin_Load: Процесс Outlook загрузил библиотеку "Microsoft VBA for Outlook Addin" (OUTLVBA.DLL). Это может свидетельствовать об использовании макросов VBA с целью выполнить произвольный код mitre_attck_execution: PT-CR-605: Office_File_With_Macros: Пользователь открыл документ Microsoft Offiсe с макросом mitre_attck_execution: PT-CR-1357: Suspicious_Directory_For_Process: Запуск исполняемого файла из подозрительной директории mitre_attck_execution: PT-CR-648: Suspicious_Child_From_Messenger_Process: Пользователь запустил процесс от родительского процесса мессенджера mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника mitre_attck_execution: PT-CR-952: Suspicious_ShortHanded_Process_Started: Запуск исполняемых файлов с подозрительным именем, состоящим из одной или двух букв mitre_attck_execution: PT-CR-345: Malicious_Office_Document: Обнаружена подозрительная последовательность запуска процесса приложением Microsoft Office mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_Via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла mitre_attck_persistence: PT-CR-2649: Outlook_Form_Exploitation: Приложение Outlook запустило подозрительный процесс после создания пользовательской формы в клиенте Outlook. Это может свидетельствовать о попытке злоумышленника закрепиться в системе или выполнить произвольный код antimalware: PT-CR-805: Malicious_File_Is_Run: Обнаружен запуск или открытие вредоносного файла antimalware: PT-CR-2412: MP_EDR_Detected_Malicious_Object: MP EDR обнаружил вредоносный файл или процесс

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, загружаемых на компьютер пользователя и затем запускаемых на нем. Посредством считывания данных в конечных точках или в сети можно обнаружить вредоносные события, выполняемые при открытии файла (например, попытки документа Microsoft Word или PDF установить связь с интернетом или создать powershell.exe).

Пакетные файлы сами по себе не вредоносны, но их создание после установки ОС, особенно в каталоге Windows, является нетипичным. Данная аналитика отслеживает подозрительную активность, связанную с созданием пакетного файла в дереве каталогов C:\Windows\System32. В данном случае только действия администраторов будут вызывать ложные срабатывания.

В Windows для отслеживания событий создания файла можно использовать событие с идентификатором 11 в Sysmon. В этом событии указывается идентификатор процесса, создавшего файл, что позволяет обнаружить события создания процесса (например, событие с идентификатором 1 в Sysmon) и определить, был ли файл загружен из внешней сети.

В MacOS для отслеживания событий создания файла можно использовать утилиты, совместимые с фреймворком Apple Endpoint Security, включая File Monitor.

Аналитика 1. Запись в пакетный файл в System32

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="11") file_path="system32" AND file_extension=".bat"

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов и (или) командных строк, связанных с приложениями, которыми злоумышленники могут воспользоваться для получения первоначального доступа после совершения пользователем определенных действий. К ним относятся приложения для сжатия данных, в частности ZIP-архиваторы, которые могут использоваться для деобфускации или декодирования файлов или данных в полезных нагрузках.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Контроль приложений может предотвратить запуск исполняемых файлов, маскирующихся под другие файлы.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10 можно включить различные правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально вредоносных исполняемых файлов (например, тех, которые были загружены и выполнены приложениями Office, интерпретаторами сценариев и почтовыми клиентами или которые не соответствуют определенным критериям распространенности, возраста или списка доверенных файлов). Примечание. Для определенных правил необходимо включить защиту с помощью облака .

IDM1017НазваниеОбучение пользователейОписание

Информируйте пользователей о распространенных техниках фишинга и целевого фишинга, научите их распознавать потенциально вредоносные события.