T1505: Компонент серверного ПО
Злоумышленники могут использовать легитимные возможности расширения функциональности серверов, используемые разработчиками, для закрепления в системе. Корпоративные серверные приложения могут иметь функции, позволяющие разработчикам писать и устанавливать программное обеспечение или сценарии для расширения функциональности основного приложения. Злоумышленники могут устанавливать вредоносные компоненты для эксплуатации и расширения функциональности серверных приложений.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода pt_application_firewall: PT-CR-1916: PTAF_Webshell_Detected: Приложение PT AF обнаружило попытку загрузить веб-оболочку на веб-сервер mitre_attck_execution: PT-CR-651: Suspicious_Webscript: Пользователь попытался запустить неизвестный скрипт unix_mitre_attck_persistence: PT-CR-1027: Unix_Webshell_Created: Потенциальная попытка загрузить веб-оболочку на веб-сервер под управлением Unix mitre_attck_persistence: PT-CR-266: Windows_Webshell_Created: Обнаружена потенциальная попытка разместить веб-шелл на веб-сервере Windows
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование агентов транспорта Microsoft для закрепления в системе. По возможности отслеживайте в журналах приложений аномальное поведение, которое может указывать на установку опасных компонентов приложений. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах (особенно DLL-библиотеках на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS. Изменение файла |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | По возможности отслеживайте местоположение файлов, которые связаны с установкой новых программных компонентов приложения, включая пути, из которых приложение обычно загружает подобные расширяемые компоненты. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы с аргументами, которые могут указывать на изменение значений ключей реестра злоумышленниками (например, |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | По возможности используйте групповую политику для настройки и блокирования изменений служебных и других критических параметров сервера в реестре. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не позволяйте использовать учетные записи администраторов с правами на добавление компонентного программного обеспечения в этих службах для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников на непривилегированных системах. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключайте программные компоненты на серверах, чтобы злоумышленники не могли использовать их в своих целях. |
---|
ID | M1045 | Название | Подпись исполняемого кода | Описание | Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения. |
---|
ID | M1047 | Название | Аудит | Описание | Регулярно проверяйте программное обеспечение компонентов критически важных служб, которые злоумышленники могут нацелить на удержание доступа к системе, чтобы убедиться в целостности систем и определить, не были ли внесены неожиданные изменения. |
---|