T1211: Эксплуатация уязвимостей для предотвращения обнаружения

Злоумышленники могут эксплуатировать уязвимости системы или приложения для обхода защитных механизмов. Эксплуатацией уязвимостей называют использование злоумышленниками ошибок программирования в приложении, службе или операционной системе, включая ядро, для выполнения своего кода. Уязвимости могут существовать и в защитном ПО, что может дать злоумышленникам возможность отключить или обойти механизмы безопасности.

Злоумышленники могут заранее знать о наличии в системе защитного ПО, получив информацию во время разведки, либо же использовать технику Изучение средств защиты во время или вскоре после компрометации системы. Вероятнее всего, защитное ПО станет прямой целью для атаки. Известны случаи компрометации антивирусных программ APT-группами с целью избежать обнаружения.

Известны также примеры уязвимостей в публичной облачной инфраструктуре SaaS-приложений, которые позволяют обходить защитные механизмы, скрываться от средств журналирования системы безопасности или развертывать скрытую инфраструктуру.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2492: CVE_2024_29510_Ghostscript: Возможное выполнение кода с помощью уязвимости CVE-2024-29510. Это уязвимость форматной строки в Ghostscript версий до 10.03.1, которая позволяет обойти песочницу и выполнять произвольные команды. Уязвимость доступна через такие библиотеки, как ImageMagick vulnerabilities: PT-CR-1377: Foxit_PDF_Reader_RCE: Возможная эксплуатация уязвимости CVE-2022-28672 в Foxit PDF Reader, что может привести к выполнению произвольного кода security_code_secret_net_lsp: PT-CR-1894: SecretNet_LSP_Multiple_Host_Unlock: Массовая разблокировка узлов сети

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Эксплуатация уязвимостей может осуществляться вскоре после компрометации системы с целью предотвращения обнаружения на последующих этапах атаки при внедрении и использовании дополнительных инструментов. Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание аномальных процессов, например запуск интерпретаторов командной строки и сценариев из приложения, которое может являться объектом эксплуатации. Также отслеживайте активность, которая может указывать на компрометацию системы, например аномальную активность процессов.

Меры противодействия

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.

IDM1050НазваниеЗащита от эксплойтовОписание

Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей . Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт . Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут не работать для программ, используемых для обхода защиты.

IDM1019НазваниеПрограмма исследования угроз (киберразведка)Описание

Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации.

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов .