MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1218.008: Утилита odbcconf

Злоумышленники могут использовать утилиту odbcconf.exe для выполнения полезных нагрузок. Odbcconf.exe — это утилита Windows, которая используется для настройки драйверов Open Database Connectivity (ODBC) и имен источников данных. Бинарный файл odbcconf.exe может быть подписан сертификатом Microsoft.

Злоумышленники могут использовать odbcconf.exe для обхода механизмов контроля приложений, которые не отслеживают его возможное неправомерное использование. Утилита odbcconf.exe имеет флаг REGSVR, который может использоваться для неправомерного выполнения DLL-файлов (например, odbcconf.exe /S /A {REGSVR "C:\Users\Public\file.dll"}) аналогично использованию утилиты Regsvr32 .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-456: Odbcconf_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows odbcconf.exe (используется для управления соединениями ODBC)

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Monitor DLL/PE file events, specifically creation of these binary files as well as the loading of DLLs into processes. Look for DLLs that are not recognized or not normally loaded into a process.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Use process monitoring to monitor the execution and arguments of odbcconf.exe. Compare recent invocations of odbcconf.exe with prior history of known good arguments and loaded DLLs to determine anomalous and potentially adversarial activity.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Command arguments used before and after the invocation of odbcconf.exe may also be useful in determining the origin and purpose of the DLL being loaded.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Odbcconf.exe may not be necessary within a given environment.

IDM1038НазваниеЗащита от выполненияОписание

Use application control configured to block execution of Odbcconf.exe if it is not required for a given system or network to prevent potential misuse by adversaries.