T1218.008: Утилита odbcconf
Злоумышленники могут использовать утилиту odbcconf.exe для выполнения полезных нагрузок. Odbcconf.exe — это утилита Windows, которая используется для настройки драйверов Open Database Connectivity (ODBC) и имен источников данных. Бинарный файл odbcconf.exe может быть подписан сертификатом Microsoft.
Злоумышленники могут использовать odbcconf.exe для обхода механизмов контроля приложений, которые не отслеживают его возможное неправомерное использование. Утилита odbcconf.exe имеет флаг REGSVR
, который может использоваться для неправомерного выполнения DLL-файлов (например, odbcconf.exe /S /A {REGSVR "C:\Users\Public\file.dll"}
) аналогично использованию утилиты Regsvr32 .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-456: Odbcconf_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows odbcconf.exe (используется для управления соединениями ODBC)
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Monitor DLL/PE file events, specifically creation of these binary files as well as the loading of DLLs into processes. Look for DLLs that are not recognized or not normally loaded into a process. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Use process monitoring to monitor the execution and arguments of odbcconf.exe. Compare recent invocations of odbcconf.exe with prior history of known good arguments and loaded DLLs to determine anomalous and potentially adversarial activity. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Command arguments used before and after the invocation of odbcconf.exe may also be useful in determining the origin and purpose of the DLL being loaded. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Odbcconf.exe may not be necessary within a given environment. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Use application control configured to block execution of Odbcconf.exe if it is not required for a given system or network to prevent potential misuse by adversaries. |
---|