T1518.001: Изучение средств защиты
Злоумышленники могут попытаться получить список программного обеспечения, конфигураций, средств защиты и датчиков, установленных в системе или облачной среде, например агентов мониторинга облачных сред и антивирусных программ. Злоумышленники могут использовать информацию, полученную при изучении средств защиты в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Например, для получения информации о защитном ПО могут использоваться команды netsh, reg query
в reg, dir
в cmd и tasklist, однако могут производиться и другие разведывательные действия, более ориентированные на специфику программных решений или защитных систем, интересующих злоумышленника. Все чаще вредоносные программы для macOS проверяют наличие программ LittleSnitch и KnockKnock.
Злоумышленники также могут использовать облачный API для поиска облачных защитных решений, установленных в вычислительной инфраструктуре, — например, AWS CloudWatch, Azure VM Agent и агент Google Cloud Monitor. Эти агенты могут собирать с виртуальных машин метрики и журналы, которые могут централизованно агрегироваться в облачной платформе мониторинга.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_discovery: PT-CR-330: Security_State_Discovery: Обнаружена попытка получить информацию о состоянии средств защиты и мониторинга
unix_mitre_attck_discovery: PT-CR-1689: Unix_Security_Software_Discovery: Разведка систем защиты Unix-узла
unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор
mitre_attck_discovery: PT-CR-1717: AppLocker_Policies_Discovery: Пользователь получил информацию о политиках AppLocker, что может свидетельствовать о подготовке к обходу этих политик
mssql_database: PT-CR-407: MSSQL_audit_configuration_discovery: Попытка получить информацию о ведении аудита базы данных
mssql_database: PT-CR-415: MSSQL_encryption_configuration_discovery: Попытка получить информацию о шифровании базы данных
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить список программ, конфигураций, средств защиты и датчиков, установленных в системе или облачной среде. |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Метаданные межсетевого экрана | Описание | Отслеживайте контекстные данные межсетевых экранов, такие как имя, политика и статус, а также связанные с ними действия. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списка программного обеспечения, конфигураций, средств защиты и датчиков, установленных в системе или облачной среде. Примечание. В Windows при запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить признаки изучения средств защиты. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно попытаться получить список программного обеспечения, конфигураций, средств защиты и датчиков, установленных в системе или облачной среде. К вызовам API ОС, связанным с дампом процессов LSASS, относится EnumProcesses. С его помощью можно составить список запущенных на узле процессов и выявить среди них те, что относятся к системе безопасности. Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы). |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Получение списков компонентов межсетевых экранов | Описание | Отслеживайте случаи извлечения списков доступных межсетевых экранов и (или) их параметров и правил (например, с помощью команды Show через интерфейс командной строки межсетевого экрана Azure). |
---|