Техника на mitre.org

T1218.008: Утилита odbcconf

Злоумышленники могут использовать утилиту odbcconf.exe для выполнения полезных нагрузок. Odbcconf.exe — это утилита Windows, которая используется для настройки драйверов Open Database Connectivity (ODBC) и имен источников данных. Бинарный файл odbcconf.exe может быть подписан сертификатом Microsoft.

Злоумышленники могут использовать odbcconf.exe для обхода механизмов контроля приложений, которые не отслеживают его возможное неправомерное использование. Утилита odbcconf.exe имеет флаг REGSVR, который может использоваться для неправомерного выполнения DLL-файлов (например, odbcconf.exe /S /A {REGSVR "C:\Users\Public\file.dll"}) аналогично использованию утилиты Regsvr32 .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-456: Odbcconf_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows odbcconf.exe (используется для управления соединениями ODBC)

Способы обнаружения

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова odbcconf.exe, чтобы определить происхождение и назначение загружаемых DLL-библиотек.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы для мониторинга запуска утилиты odbcconf.exe и ее аргументов. Сопоставляйте недавние вызовы odbcconf.exe с историей использования известных допустимых аргументов и загрузки допустимых DLL-библиотек, чтобы выявить аномальную и потенциально вредоносную активность.

ID	Источник и компонент данных	Описание
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.
DS0017	Команда: Выполнение команд	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова odbcconf.exe, чтобы определить происхождение и назначение загружаемых DLL-библиотек.
DS0009	Процесс: Создание процесса	Отслеживайте процессы для мониторинга запуска утилиты odbcconf.exe и ее аргументов. Сопоставляйте недавние вызовы odbcconf.exe с историей использования известных допустимых аргументов и загрузки допустимых DLL-библиотек, чтобы выявить аномальную и потенциально вредоносную активность.

Меры противодействия

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Утилита Odbcconf.exe может быть не нужна в конкретной среде.

ID	M1038	Название	Защита от выполнения	Описание	Используйте контроль приложений, настроенный на блокировку выполнения утилиты Odbcconf.exe, если она не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.

ID	Название	Описание
M1042	Отключение или удаление компонента или программы	Утилита Odbcconf.exe может быть не нужна в конкретной среде.
M1038	Защита от выполнения	Используйте контроль приложений, настроенный на блокировку выполнения утилиты Odbcconf.exe, если она не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.