T1505: Компонент серверного ПО

Злоумышленники могут использовать легитимные возможности расширения функциональности серверов, используемые разработчиками, для закрепления в системе. Корпоративные серверные приложения могут иметь функции, позволяющие разработчикам писать и устанавливать программное обеспечение или сценарии для расширения функциональности основного приложения. Злоумышленники могут устанавливать вредоносные компоненты для эксплуатации и расширения функциональности серверных приложений.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода pt_application_firewall: PT-CR-1916: PTAF_Webshell_Detected: Приложение PT AF обнаружило попытку загрузить веб-оболочку на веб-сервер mitre_attck_execution: PT-CR-651: Suspicious_Webscript: Пользователь попытался запустить неизвестный скрипт unix_mitre_attck_persistence: PT-CR-1027: Unix_Webshell_Created: Потенциальная попытка загрузить веб-оболочку на веб-сервер под управлением Unix mitre_attck_persistence: PT-CR-266: Windows_Webshell_Created: Обнаружена потенциальная попытка разместить веб-шелл на веб-сервере Windows

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование агентов транспорта Microsoft для закрепления в системе. По возможности отслеживайте в журналах приложений аномальное поведение, которое может указывать на установку опасных компонентов приложений.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах (особенно DLL-библиотеках на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS. Изменение файла %windir%\system32\inetsrv\config\applicationhost.config может свидетельствовать об установке модуля IIS.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

По возможности отслеживайте местоположение файлов, которые связаны с установкой новых программных компонентов приложения, включая пути, из которых приложение обычно загружает подобные расширяемые компоненты.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы с аргументами, которые могут указывать на изменение значений ключей реестра злоумышленниками (например, reg.exe) или модификацию либо замену легитимного файла termsrv.dll.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги.

IDM1024НазваниеОграничение прав доступа к рееструОписание

По возможности используйте групповую политику для настройки и блокирования изменений служебных и других критических параметров сервера в реестре.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не позволяйте использовать учетные записи администраторов с правами на добавление компонентного программного обеспечения в этих службах для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников на непривилегированных системах.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключайте программные компоненты на серверах, чтобы злоумышленники не могли использовать их в своих целях.

IDM1045НазваниеПодпись исполняемого кодаОписание

Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения.

IDM1047НазваниеАудитОписание

Регулярно проверяйте программное обеспечение компонентов критически важных служб, которые злоумышленники могут нацелить на удержание доступа к системе, чтобы убедиться в целостности систем и определить, не были ли внесены неожиданные изменения.