Матрица MITRE ATT&CK

Техника на mitre.org

T1497.002: Проверки активности пользователя

Злоумышленники могут проверять активность пользователей для обнаружения и обхода средств виртуализации и анализа. Они могут менять поведение исходя из результатов поиска артефактов, свидетельствующих о работе в виртуальной машине или песочнице. В случае детектирования виртуализированной среды злоумышленники могут изменить вредоносное ПО, чтобы прекратить атаку или скрыть основные функции импланта. Они также могут искать артефакты виртуализированной среды перед загрузкой вспомогательных или дополнительных полезных нагрузок. Злоумышленники могут использовать информацию, полученную в результате обхода виртуализации или песочницы в ходе автоматического обнаружения, для определения дальнейшего поведения.

Злоумышленники могут отслеживать пользовательскую активность на узле, используя такие переменные, как скорость/частота движений и щелчков мыши, история браузера, кэш, закладки и количество файлов в стандартных каталогах, таких как домашний каталог или рабочий стол. Другие методы могут заключаться в ожидании определенного действия пользователя, после выполнения которого активируется вредоносный код, — например, ожидание закрытия документа с последующей активацией макроса или ожидание двойного щелчка по встроенному изображению с последующей активацией.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Техники изучения пользовательской активности чаще всего применяются на начальном этапе компрометации, но могут встречаться и позднее по мере изучения окружения злоумышленником. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу. Для обнаружения угроз полезно отслеживать создание подозрительных процессов, особенно запущенных за короткий период, которые собирают данные о системе или применяются в других техниках изучения.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, которые могут содержать различные возможности для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Техники изучения пользовательской активности чаще всего применяются на начальном этапе компрометации, но могут встречаться и позднее по мере изучения окружения злоумышленником. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу. Для обнаружения угроз полезно отслеживать создание подозрительных процессов, особенно запущенных за короткий период, которые собирают данные о системе или применяются в других техниках изучения.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, которые могут содержать различные возможности для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.