MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1491.001: Дефейс внутренних систем

Злоумышленники могут изменить содержимое, отображаемое во внутренних системах целевой организации, чтобы запугать пользователей или ввести их в заблуждение и заявить о нарушении целостности систем. Например, они могут изменить оформление внутренних веб-сайтов или пользовательских систем, в частности заменив обои на рабочем столе. Для дефейса внутренних систем злоумышленники могут использовать шокирующие или оскорбительные изображения, причиняющие пользователям дискомфорт или оказывающие на них давление с целью добиться выполнения выдвинутых требований. Поскольку эта техника раскрывает присутствие злоумышленника, она зачастую применяется только после достижения других целей атаки.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-1995: Desktop_Wallpaper_Change: Изменение обоев рабочего стола от имени одного из процессов: reg.exe, powershell.exe, powershell_ise.exe, pwsh.exe, rundll32.exe, regsvr32.exe, msiexec.exe, dllhost.exe, wscript.exe. Некоторые криптолокеры, например Rhysida, выполняют подобные действия (с помощью reg.exe), после чего устанавливают запрет на смену обоев с требованиями злоумышленников

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor for third-party application logging, messaging, and/or other artifacts that may deface systems internal to an organization in an attempt to intimidate or mislead users.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor internal and websites for unplanned content changes.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files that may deface systems internal to an organization in an attempt to intimidate or mislead users.

Меры противодействия

IDM1053НазваниеСоздание резервной копии данныхОписание

Consider implementing IT disaster recovery plans that contain procedures for taking regular data backups that can be used to restore organizational data. Ensure backups are stored off system and is protected from common methods adversaries may use to gain access and destroy the backups to prevent recovery.