T1480: Ограничения на исполнение

Злоумышленники могут использовать ограничения на выполнение кода или определенных действий в зависимости от соответствия целевой системы и среды, в которой она находится, заданным условиям. Техника "Ограничения на исполнение" обеспечивает выполнение полезной нагрузки только в системе намеченной цели, что снижает сопутствующий ущерб, который может быть причинен в ходе кампании. Чтобы установить ограничения, злоумышленник может опираться на следующие значения в целевой системе или среде: имена сетевых ресурсов, подключенные физические устройства, файлы, используемые домены Active Directory (AD), а также локальные и внешние IP-адреса.

Ограничения на исполнение позволяют злоумышленникам скрыть возможности своего инструментария в средах, которые они не планировали компрометировать или эксплуатировать. Использование ограничений на исполнение отличается от типичного обхода виртуализации или песочницы. Обход виртуализации или песочницы может предусматривать проверку наличия в среде известных значений, характерных для песочниц, с последующим выполнением кода только при отсутствии соответствий, в то время как использование ограничений на исполнение подразумевает проверку наличия ожидаемого значения, характерного для целевой среды, с последующим выполнением кода только при совпадении.

Какие продукты Positive Technologies покрывают технику

MaxPatrol HCC позволяет проверять списки разрешений и доступов. Техника покрывается MaxPatrol HCC — модулем MaxPatrol VM для комплаенс-контроля и харденинга инфраструктуры.

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Для обнаружения угроз полезно отслеживать создание подозрительных процессов, особенно запущенных за короткий период, которые собирают данные о системе или применяются в других техниках изучения. Обнаружить использование ограничений на исполнение может быть крайне непросто — эффективность зависит от реализованной злоумышленниками техники.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения информации о контрагентах атакуемой организации с целью ее использования в ходе атаки. Обнаружить использование ограничений на исполнение может быть крайне непросто — эффективность зависит от реализованной злоумышленниками техники.

Меры противодействия

IDM1055НазваниеПредотвращение не рекомендуетсяОписание

Environmental Keying, скорее всего, не следует защищать с помощью превентивных мер контроля, поскольку это может защитить нежелательные цели от компрометации через путаницу ключей злоумышленником. Устранение последствий этой техники также вряд ли возможно в большинстве случаев, поскольку не существует стандартных атрибутов, на основе которых злоумышленник может получить ключи. В случае целенаправленного воздействия усилия должны быть направлены на предотвращение запуска инструментов злоумышленника на более ранних этапах цепочки действий и на выявление последующего вредоносного поведения в случае компрометации.