PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1505: Компонент серверного ПО

Злоумышленники могут использовать легитимные возможности расширения функциональности серверов, используемые разработчиками, для закрепления в системе. Корпоративные серверные приложения могут иметь функции, позволяющие разработчикам писать и устанавливать программное обеспечение или сценарии для расширения функциональности основного приложения. Злоумышленники могут устанавливать вредоносные компоненты для эксплуатации и расширения функциональности серверных приложений.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD с помощью правил способен обнаруживать обращения к компонентам серверного ПО, которые злоумышленники могут использовать в своих целях для обеспечения доступа к инфраструктуре.

Примеры правил обнаружения PT NAD

  • ATTACK [PTsecurity] MSSQL xp_cmdshell execution attempt (sid 10006229)
  • SHELL [PTsecurity] Antsword PHP shell activity (sid 10008256)

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование агентов транспорта Microsoft для закрепления в системе. По возможности отслеживайте в журналах приложений аномальное поведение, которое может указывать на установку опасных компонентов приложений.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы с аргументами, которые могут указывать на изменение значений ключей реестра злоумышленниками (например, reg.exe) или модификацию либо замену легитимного файла termsrv.dll.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах (особенно DLL-библиотеках на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS. Изменение файла %windir%\system32\inetsrv\config\applicationhost.config может свидетельствовать об установке модуля IIS.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

По возможности отслеживайте местоположение файлов, которые связаны с установкой новых программных компонентов приложения, включая пути, из которых приложение обычно загружает подобные расширяемые компоненты.

Меры противодействия

IDM1045НазваниеПодпись исполняемого кодаОписание

Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения.

IDM1047НазваниеАудитОписание

Регулярно проверяйте программное обеспечение компонентов критически важных служб, которые злоумышленники могут нацелить на удержание доступа к системе, чтобы убедиться в целостности систем и определить, не были ли внесены неожиданные изменения.

IDM1024НазваниеОграничение прав доступа к рееструОписание

По возможности используйте групповую политику для настройки и блокирования изменений параметров служб терминалов в реестре.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите функции веб-технологий, такие как evaI() в PHP, которые могут быть использованы для создания веб-оболочек.

IDM1018НазваниеУправление учетными записямиОписание

Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не позволяйте использовать учетные записи администраторов с правами на добавление компонентного программного обеспечения в этих службах для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников на непривилегированных системах.