Техника на mitre.org

T1491.001: Дефейс внутренних систем

Злоумышленники могут изменить содержимое, отображаемое во внутренних системах целевой организации, чтобы запугать пользователей или ввести их в заблуждение и заявить о нарушении целостности систем. Например, они могут изменить оформление внутренних веб-сайтов или пользовательских систем, в частности заменив обои на рабочем столе. Для дефейса внутренних систем злоумышленники могут использовать шокирующие или оскорбительные изображения, причиняющие пользователям дискомфорт или оказывающие на них давление с целью добиться выполнения выдвинутых требований. Поскольку эта техника раскрывает присутствие злоумышленника, она зачастую применяется только после достижения других целей атаки.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-1995: Desktop_Wallpaper_Change: Изменение обоев рабочего стола от имени одного из процессов: reg.exe, powershell.exe, powershell_ise.exe, pwsh.exe, rundll32.exe, regsvr32.exe, msiexec.exe, dllhost.exe, wscript.exe. Некоторые криптолокеры, например Rhysida, выполняют подобные действия (с помощью reg.exe), после чего устанавливают запрет на смену обоев с требованиями злоумышленников

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте незапланированные изменения в содержании внутренних веб-сайтов.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, которые могут использоваться для дефейса внутренних систем целевой организации с целью запугать или ввести в заблуждение пользователей.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на дефейс внутренних систем организации с целью запугать или ввести в заблуждение пользователей.

ID	Источник и компонент данных	Описание
DS0022	Файл: Изменение файла	Отслеживайте незапланированные изменения в содержании внутренних веб-сайтов.
DS0022	Файл: Создание файла	Отслеживайте создание файлов, которые могут использоваться для дефейса внутренних систем целевой организации с целью запугать или ввести в заблуждение пользователей.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на дефейс внутренних систем организации с целью запугать или ввести в заблуждение пользователей.

Меры противодействия

ID	M1053	Название	Создание резервной копии данных	Описание	По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления.

ID	Название	Описание
M1053	Создание резервной копии данных	По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления.