MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1218: Выполнение с помощью системных бинарных файлов

Злоумышленники могут обходить защитные механизмы, контролирующие процессы и (или) цифровые подписи, запуская вредоносный код через подписанные или иные доверенные бинарные файлы. В рамках этой техники часто используются файлы, подписанные сертификатом Microsoft, то есть они либо были скачаны с официального сайта Microsoft, либо являются нативными для операционной системы. Бинарные файлы, подписанные доверенными сертификатами, обычно могут беспрепятственно выполняться в системах Windows, защищенных средствами проверки подлинности цифровой подписи. Некоторые бинарные файлы, подписанные сертификатом Microsoft, являются стандартными файлами Windows и могут использоваться для выполнения других файлов или команд.

В системах Linux злоумышленники могут аналогичным образом использовать доверенные бинарные файлы, такие как split, для выполнения вредоносных команд.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

sap_suspicious_user_activity: PT-CR-245: SAPASABAP_GW_Rfcexec_call: Запуск RFCEXEC
mitre_attck_defense_evasion: PT-CR-1864: Proxy_Execution_via_WorkFolders: Злоумышленник может запустить замаскированный файл control.exe с помощью WorkFolders в текущем рабочем каталоге, чтобы обойти меры безопасности
mitre_attck_defense_evasion: PT-CR-604: Microsoft_Teams_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью утилиты Microsoft Teams update.exe (файл для обновления установленного пакета NuGet/Squirrel, часть установки Microsoft Teams)
mitre_attck_defense_evasion: PT-CR-650: Suspicious_File_Created_by_Legal_Process: Обнаруживает создание подозрительных файлов легитимными процессами
unix_mitre_attck_defense_evasion: PT-CR-1674: Unix_Shell_Command_via_GTFOBINS: Создана интерактивная системная оболочка с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы для мониторинга запуска утилиты InstallUtil.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты InstallUtil.exe с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых можно обходить защитные механизмы, контролирующие процессы и (или) цифровые подписи, запуская вредоносный код через подписанные или иные доверенные бинарные файлы.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра Windows и (или) значениях, с помощью которых злоумышленники могут подделать учетные данные и использовать их для получения доступа к веб-приложениям или интернет-службам.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова InstallUtil.exe, чтобы определить происхождение и назначение выполняемого бинарного файла.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте наличие и использование CHM-файлов, особенно если они обычно не используются в среде.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

CMSTP.exe может быть не нужен в конкретной среде (если только он не используется для установки VPN-соединения).

IDM1050НазваниеЗащита от эксплойтовОписание

Функция Microsoft Enhanced Mitigation Experience Toolkit (EMET) Attack Surface Reduction (ASR) может быть использована для блокировки regsvr32.exe с целью обхода контроля приложений . Выявляйте и блокируйте потенциально вредоносные программы, выполняемые через функциональность regsvr32, с помощью инструментов контроля приложений, таких как Windows Defender Application Control, AppLocker или политики ограничения ПО, там где это необходимо .

IDM1037НазваниеФильтрация сетевого трафикаОписание

По возможности измените правила брандмауэра хоста для предотвращения исходящего трафика от verclsid.exe.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте выполнение Msiexec.exe только привилегированными учетными записями или группами, которым необходимо его использовать, чтобы уменьшить возможности для вредоносного использования.

IDM1038НазваниеЗащита от выполненияОписание

По возможности используйте контроль приложений, настроенный на блокировку выполнения CMSTP.exe, если он не нужен в данной системе или сети, чтобы предотвратить потенциальное использование злоумышленниками.

IDM1021НазваниеОграничения для веб-контентаОписание

По возможности блокируйте загрузку, передачу и выполнение потенциально необычных типов файлов, которые, как известно, используются в кампаниях злоумышленников (например, CHM).