T1218: Выполнение с помощью системных бинарных файлов
Злоумышленники могут обходить защитные механизмы, контролирующие процессы и (или) цифровые подписи, запуская вредоносный код через подписанные или иные доверенные бинарные файлы. В рамках этой техники часто используются файлы, подписанные сертификатом Microsoft, то есть они либо были скачаны с официального сайта Microsoft, либо являются нативными для операционной системы. Бинарные файлы, подписанные доверенными сертификатами, обычно могут беспрепятственно выполняться в системах Windows, защищенных средствами проверки подлинности цифровой подписи. Некоторые бинарные файлы, подписанные сертификатом Microsoft, являются стандартными файлами Windows и могут использоваться для выполнения других файлов или команд.
В системах Linux злоумышленники могут аналогичным образом использовать доверенные бинарные файлы, такие как split
, для выполнения вредоносных команд.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
sap_suspicious_user_activity: PT-CR-245: SAPASABAP_GW_Rfcexec_call: Запуск RFCEXEC
mitre_attck_defense_evasion: PT-CR-1864: Proxy_Execution_via_WorkFolders: Злоумышленник может запустить замаскированный файл control.exe с помощью WorkFolders в текущем рабочем каталоге, чтобы обойти меры безопасности
mitre_attck_defense_evasion: PT-CR-604: Microsoft_Teams_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью утилиты Microsoft Teams update.exe (файл для обновления установленного пакета NuGet/Squirrel, часть установки Microsoft Teams)
mitre_attck_defense_evasion: PT-CR-650: Suspicious_File_Created_by_Legal_Process: Обнаруживает создание подозрительных файлов легитимными процессами
unix_mitre_attck_defense_evasion: PT-CR-1674: Unix_Shell_Command_via_GTFOBINS: Создана интерактивная системная оболочка с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы для мониторинга запуска утилиты InstallUtil.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты InstallUtil.exe с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно обходить защитные механизмы, контролирующие процессы и (или) цифровые подписи, запуская вредоносный код через подписанные или иные доверенные бинарные файлы. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра Windows и (или) значениях, с помощью которых злоумышленники могут подделать учетные данные и использовать их для получения доступа к веб-приложениям или интернет-службам. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова InstallUtil.exe, чтобы определить происхождение и назначение выполняемого бинарного файла. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте наличие и использование CHM-файлов, особенно если они обычно не используются в среде. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | CMSTP.exe может быть не нужен в конкретной среде (если только он не используется для установки VPN-соединения). |
---|
ID | M1050 | Название | Защита от эксплойтов | Описание | Функция Microsoft Enhanced Mitigation Experience Toolkit (EMET) Attack Surface Reduction (ASR) может быть использована для блокировки regsvr32.exe с целью обхода контроля приложений . Выявляйте и блокируйте потенциально вредоносные программы, выполняемые через функциональность regsvr32, с помощью инструментов контроля приложений, таких как Windows Defender Application Control, AppLocker или политики ограничения ПО, там где это необходимо . |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | По возможности измените правила брандмауэра хоста для предотвращения исходящего трафика от verclsid.exe. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте выполнение Msiexec.exe только привилегированными учетными записями или группами, которым необходимо его использовать, чтобы уменьшить возможности для вредоносного использования. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | По возможности используйте контроль приложений, настроенный на блокировку выполнения CMSTP.exe, если он не нужен в данной системе или сети, чтобы предотвратить потенциальное использование злоумышленниками. |
---|
ID | M1021 | Название | Ограничения для веб-контента | Описание | По возможности блокируйте загрузку, передачу и выполнение потенциально необычных типов файлов, которые, как известно, используются в кампаниях злоумышленников (например, CHM). |
---|