T1505: Компонент серверного ПО
Злоумышленники могут использовать легитимные возможности расширения функциональности серверов, используемые разработчиками, для закрепления в системе. Корпоративные серверные приложения могут иметь функции, позволяющие разработчикам писать и устанавливать программное обеспечение или сценарии для расширения функциональности основного приложения. Злоумышленники могут устанавливать вредоносные компоненты для эксплуатации и расширения функциональности серверных приложений.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD с помощью правил способен обнаруживать обращения к компонентам серверного ПО, которые злоумышленники могут использовать в своих целях для обеспечения доступа к инфраструктуре.
Примеры правил обнаружения PT NAD
- ATTACK [PTsecurity] MSSQL xp_cmdshell execution attempt (sid 10006229)
- SHELL [PTsecurity] Antsword PHP shell activity (sid 10008256)
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование агентов транспорта Microsoft для закрепления в системе. По возможности отслеживайте в журналах приложений аномальное поведение, которое может указывать на установку опасных компонентов приложений. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы с аргументами, которые могут указывать на изменение значений ключей реестра злоумышленниками (например, |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах (особенно DLL-библиотеках на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS. Изменение файла |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | По возможности отслеживайте местоположение файлов, которые связаны с установкой новых программных компонентов приложения, включая пути, из которых приложение обычно загружает подобные расширяемые компоненты. |
---|
Меры противодействия
ID | M1045 | Название | Подпись исполняемого кода | Описание | Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения. |
---|
ID | M1047 | Название | Аудит | Описание | Регулярно проверяйте программное обеспечение компонентов критически важных служб, которые злоумышленники могут нацелить на удержание доступа к системе, чтобы убедиться в целостности систем и определить, не были ли внесены неожиданные изменения. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | По возможности используйте групповую политику для настройки и блокирования изменений параметров служб терминалов в реестре. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите функции веб-технологий, такие как |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не позволяйте использовать учетные записи администраторов с правами на добавление компонентного программного обеспечения в этих службах для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников на непривилегированных системах. |
---|