Техника на mitre.org

T1546: Выполнение по событию

Злоумышленники могут закрепиться и (или) повысить уровень своих привилегий с помощью системных средств, запускающих выполнение по определенному событию. Различные операционные системы имеют средства отслеживания таких событий, как вход в систему и запуск определенных приложений или бинарных файлов, и подписки на них. Облачные среды также могут иметь различные функции и службы, которые отслеживают события в облаке и могут быть активированы при наступлении определенных событий.

Злоумышленники могут использовать эти механизмы для поддержания постоянного доступа к целевой системе путем систематического выполнения вредоносного кода. Получив доступ к системе жертвы, злоумышленники могут создавать или изменять триггеры событий, указывая вредоносное содержимое, которое будет выполняться при каждом срабатывании триггера.

Так как выполнение может быть проксировано через учетную запись с более высокими правами, такую как SYSTEM или учетные записи служб, злоумышленник может использовать эти механизмы активации выполнения для повышения своих привилегий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-1029: Unix_Sensitive_File_Modification: Открытие чувствительных файлов mitre_attck_privilege_escalation: PT-CR-1353: PrivEsc_Via_Comctl32: Эксплуатация логической ошибки при создании папки, для доступа к которой необходимы права администратора. Ошибка позволяет повысить уровень привилегий пользователя до SYSTEM при срабатывании определенного триггера mitre_attck_persistence: PT-CR-1997: EventViewer_Registry_Modify: Изменен ключ реестра, отвечающий за перенаправление на справку по компоненту "Просмотр событий". Атакующий может поместить в него путь к файлу, который будет выполняться при получении справки, для закрепления на целевой системе

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносных команд, запущенных в результате установки приложений.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

ID	DS0005	Источник и компонент данных	Инструментарий управления Windows (WMI): Создание WMI	Описание	Отслеживайте записи подписки на события WMI, сравнивая текущие подписки на события WMI с известными надежными подписками для каждого узла. Кроме того, для обнаружения изменений в WMI, указывающих на попытки закрепления в системе, можно использовать такие инструменты, как Sysinternals Autoruns . Отслеживайте создание новых событий WMI `EventFilter`, `EventConsumer` и `FilterToConsumerBinding`. В Windows 10 при появлении новых событий `EventFilterToConsumerBinding` регистрируется событие с ИД 5861.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в значениях реестра, связанных с IFEO, а также попытки мониторинга тихого завершения процессов, которые не связаны с известным ПО, циклами выпуска исправлений и т. д.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте попытки создания файлов, связанных с установочными пакетами, которые злоумышленники могут использовать для выполнения вредоносного содержимого.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Изменения в бинарных файлах, которые не связаны с установкой обновлений и исправлений приложения, также служат признаком подозрительной деятельности.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах, которые отражали бы создание правил emond, в каталогах `/etc/emond.d/rules/` и `/private/var/db/emondClients`.

ID	DS0025	Источник и компонент данных	Облачная служба: Изменения в облачной службе	Описание	Отслеживайте создание и модификацию облачных ресурсов, которые злоумышленники могут использовать для закрепления, включая функции и рабочие процессы, ведущие наблюдение за облачными событиями.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносные процессы, запущенные с повышенными привилегиями в результате установки приложений.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносных команд, запущенных в результате установки приложений.
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.
DS0005	Инструментарий управления Windows (WMI): Создание WMI	Отслеживайте записи подписки на события WMI, сравнивая текущие подписки на события WMI с известными надежными подписками для каждого узла. Кроме того, для обнаружения изменений в WMI, указывающих на попытки закрепления в системе, можно использовать такие инструменты, как Sysinternals Autoruns . Отслеживайте создание новых событий WMI `EventFilter`, `EventConsumer` и `FilterToConsumerBinding`. В Windows 10 при появлении новых событий `EventFilterToConsumerBinding` регистрируется событие с ИД 5861.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в значениях реестра, связанных с IFEO, а также попытки мониторинга тихого завершения процессов, которые не связаны с известным ПО, циклами выпуска исправлений и т. д.
DS0022	Файл: Создание файла	Отслеживайте попытки создания файлов, связанных с установочными пакетами, которые злоумышленники могут использовать для выполнения вредоносного содержимого.
DS0022	Файл: Метаданные файла	Изменения в бинарных файлах, которые не связаны с установкой обновлений и исправлений приложения, также служат признаком подозрительной деятельности.
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах, которые отражали бы создание правил emond, в каталогах `/etc/emond.d/rules/` и `/private/var/db/emondClients`.
DS0025	Облачная служба: Изменения в облачной службе	Отслеживайте создание и модификацию облачных ресурсов, которые злоумышленники могут использовать для закрепления, включая функции и рабочие процессы, ведущие наблюдение за облачными событиями.
DS0009	Процесс: Создание процесса	Отслеживайте процессы с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносные процессы, запущенные с повышенными привилегиями в результате установки приложений.

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Регулярно обновляйте программное обеспечение с целью предотвращения эксплуатации уязвимостей.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Обеспечьте контроль над созданием, изменением, использованием и правами привилегированных учетных записей, включая системные и суперпользователя.

ID	Название	Описание
M1051	Обновление ПО	Регулярно обновляйте программное обеспечение с целью предотвращения эксплуатации уязвимостей.
M1026	Управление привилегированными учетными записями	Обеспечьте контроль над созданием, изменением, использованием и правами привилегированных учетных записей, включая системные и суперпользователя.