MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1217: Изучение браузера

Злоумышленники могут изучать информацию о браузерах, чтобы получить дополнительные сведения о скомпрометированной среде. Данные, сохраненные в браузерах (закладки, учетные записи и история просмотров), могут служить источником ценной информации о частной жизни пользователей (сайты банков, отношения, интересы, социальные сети и т. д.), а также сведений о внутренних сетевых ресурсах — серверах, инструментах, панелях мониторинга и других элементах инфраструктуры.

После получения доступа к действительным учетным данным, особенно к учетным данным в файлах кэша браузера, созданных при входе пользователей в учетные записи, злоумышленники могут изучать браузер для поиска дополнительных целей.

Разные платформы и приложения хранят такие данные в разных расположениях, но информация о браузерах обычно хранится в локальных файлах и базах данных (например, %APPDATA%/Google/Chrome).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Существует множество реализаций данной подтехники, далее приведены основные способы ее обнаружения. — Мониторинг событий получения доступа к информации, хранимой браузерами (такой как локальные файлы и базы данных). Например, places.sqlite (Firefox), Bookmarks в директории C:\Users, закладки в директории %USERPROFILE%\Favorites (IE на Windows), файлы в директории %APPDATA%/Google/Chrome, файл %USERPROFILE%\AppData\Local\Google\Chrome\User Data\LocalState. — Мониторинг событий запуска процессов, связанных с получением доступа к указанным выше файлам (эти файлы будут аргументами командной строки), с помощью встроенных средств ОС, таких как cmd, WMI и PowerShell

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы с аргументами, которые могут использоваться для сбора информации о браузере, например локальных файлов и баз данных (в частности, %APPDATA%/Google/Chrome).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о браузере, включая локальные файлы и базы данных (например, в каталоге %APPDATA%/Google/Chrome). Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API для сбора информации. Для сбора информации также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте нетипичные попытки доступа к хранимым данным браузера, включая файлы в локальной системе и базы данных (например, в папке %APPDATA%/Google/Chrome). Рекомендуется рассматривать эти события не в отрыве друг от друга, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, включая сбор информации и эксфильтрацию.