T1491.001: Дефейс внутренних систем
Злоумышленники могут изменить содержимое, отображаемое во внутренних системах целевой организации, чтобы запугать пользователей или ввести их в заблуждение и заявить о нарушении целостности систем. Например, они могут изменить оформление внутренних веб-сайтов или пользовательских систем, в частности заменив обои на рабочем столе. Для дефейса внутренних систем злоумышленники могут использовать шокирующие или оскорбительные изображения, причиняющие пользователям дискомфорт или оказывающие на них давление с целью добиться выполнения выдвинутых требований. Поскольку эта техника раскрывает присутствие злоумышленника, она зачастую применяется только после достижения других целей атаки.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_impact: PT-CR-1995: Desktop_Wallpaper_Change: Изменение обоев рабочего стола от имени одного из процессов: reg.exe, powershell.exe, powershell_ise.exe, pwsh.exe, rundll32.exe, regsvr32.exe, msiexec.exe, dllhost.exe, wscript.exe. Некоторые криптолокеры, например Rhysida, выполняют подобные действия (с помощью reg.exe), после чего устанавливают запрет на смену обоев с требованиями злоумышленников
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Monitor for third-party application logging, messaging, and/or other artifacts that may deface systems internal to an organization in an attempt to intimidate or mislead users. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor internal and websites for unplanned content changes. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files that may deface systems internal to an organization in an attempt to intimidate or mislead users. |
---|
Меры противодействия
ID | M1053 | Название | Создание резервной копии данных | Описание | Consider implementing IT disaster recovery plans that contain procedures for taking regular data backups that can be used to restore organizational data. Ensure backups are stored off system and is protected from common methods adversaries may use to gain access and destroy the backups to prevent recovery. |
---|