Техника на mitre.org

T1543: Создание или изменение системных процессов

Злоумышленники могут создавать или изменять процессы системного уровня для систематического выполнения полезной нагрузки с целью закрепления в системе. Когда операционные системы загружаются, они могут запускать процессы, выполняющие фоновые задачи в системе. В Windows и Linux такие системные процессы называются службами. В macOS процессы launchd, известные как демоны запуска и агенты запуска, запускаются для завершения инициализации системы и загрузки пользовательских параметров.

Для закрепления в системе злоумышленники могут устанавливать новые службы, демоны или агенты, которые могут быть настроены на выполнение при запуске или многократно через определенные интервалы времени. С теми же целями злоумышленники могут изменить существующие службы, демоны или агенты.

Службы, демоны или агенты могут быть созданы с привилегиями администратора, но выполняться с привилегиями root или SYSTEM. Злоумышленники могут использовать эту возможность для создания или изменения системных процессов с целью повышения привилегий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-2631: Unix_OpenSSH_Binary_Modification: Процесс, не являющийся менеджером пакетов, изменил бинарный файл OpenSSH. Это может быть признаком действий злоумышленников с целью закрепиться в системе или получить доступ к учетным данным

Подтехники

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Некоторые легитимные демоны запуска LaunchDaemons указывают на неподписанный код, которым могут воспользоваться злоумышленники. Если для параметра RunAtLoad демона запуска установлено значение true, проверьте, указывает ли параметр Program на подписанный код и соответствуют ли исполняемые файлы политике предприятия. Некоторые параметры являются взаимозаменяемыми, например Program и ProgramArguments, но использоваться должен только один .

IDDS0032Источник и компонент данныхКонтейнер: Создание контейнераОписание

Отслеживайте недавно созданные контейнеры, которые могут систематически запускать вредоносные полезные нагрузки с целью закрепления в системе или повышения привилегий.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте создание ключей реестра, которые могут создать или изменить службы Windows для систематического выполнения полезной нагрузки вредоносного ПО с целью закрепления в системе.

Анализ 1. Создание ключа реестра HKLM\System\CurrentControlSet\Services

source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="12" TargetObject="HKLM\System\CurrentControlSet\Services*"

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в записях реестра служб, которые не связаны с известным ПО, циклами выпуска исправлений и т. д. Данные служб хранятся в реестре в HKLM\SYSTEM\CurrentControlSet\Services. Изменение путей к бинарным файлам и нетипичное переключение запуска службы с ручного или отключенного режима на автоматический следует считать подозрительным. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системных службах, которые могут указывать на попытки закрепления в системе.

Анализ 1. Изменение ключа реестра HKLM\System\CurrentControlSet\Services

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode IN (13, 14) EventType= "SetValue" TargetObject="HKLM\System\CurrentControlSet\Services*" | where RegistryKeyPath LIKE "%ImagePath%" OR RegistryKeyPath LIKE "%Type%" OR RegistryKeyPath LIKE "%DisplayName%" OR RegistryKeyPath LIKE "%Objectname%"

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте попытки добавления файлов в папку /Library/LaunchDaemons/. Демоны LaunchDaemons системы защищены с помощью SIP.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут создать или изменить демоны запуска для выполнения полезной нагрузки вредоносного ПО с целью закрепления в системе.

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Отслеживайте установку и загрузку новых драйверов служб (например, события Sysmon с идентификатором 6) вне циклов выпуска обновлений и исправлений известного ПО.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте недавно созданные службы, которые могут создавать или изменять демоны запуска для выполнения полезной нагрузки вредоносного ПО с целью закрепления в системе.

IDDS0019Источник и компонент данныхСлужба: Изменения в службеОписание

Отслеживайте службы на предмет изменений, внесенных в демоны запуска для выполнения полезной нагрузки вредоносного ПО с целью закрепления в системе.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API (такие как CreateServiceW()), с помощью которых можно создать или изменить службы Windows для систематического выполнения полезной нагрузки вредоносного ПО с целью закрепления в системе.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут создавать или изменять демоны запуска для выполнения полезной нагрузки вредоносного ПО с целью закрепления в системе.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте доступ к утилитам, таким как docker, оставив его только для тех пользователей, которым он необходим, особенно если утилита docker используется в режиме rootful. В средах Kubernetes обеспечьте выдачу прав на размещение модулей только для тех пользователей, которым это необходимо.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ограничьте доступ на чтение/запись к файлам модулей службы systemd только для избранных привилегированных пользователей, которым необходимо управлять системными службами.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Создание и изменение файлов модулей службы systemd обычно разрешено администраторам, таким как пользователь Linux root и другие пользователи с привилегиями суперпользователя.

IDM1028НазваниеИзменение конфигурации ОСОписание

Проследите, чтобы была включена функция Driver Signature Enforcement, чтобы запретить установку неподписанных драйверов.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Ограничьте установку программ только в доверенных репозиториях и будьте осторожны с бесхозными пакетами.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить запись приложением в систему подписанного уязвимого драйвера. В Windows 10 и 11 включите блок-лист уязвимых драйверов Microsoft, чтобы помочь в защите от драйверов сторонних разработчиков.

IDM1045НазваниеПодпись исполняемого кодаОписание

Обеспечьте регистрацию и выполнение только легитимно подписанных драйверов служб, где это возможно.

IDM1047НазваниеАудитОписание

Используйте инструменты аудита, способные обнаружить возможности злоупотребления правами доступа к папкам в системах, особенно при проверке изменений, вносимых в папки сторонними программами.

IDM1054НазваниеИзменение конфигурации ПООписание

По возможности принудительно используйте службы контейнера в режиме rootless, чтобы ограничить возможность повышения привилегий или вредоносного воздействия на хост, на котором запущен контейнер.