Матрица MITRE ATT&CK

Техника на mitre.org

T1546.006: Добавление LC_LOAD_DYLIB

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого выполнением зараженных бинарных файлов. Бинарные файлы Mach-O имеют ряд заголовков, которые используются для выполнения определенных операций при загрузке бинарного файла. Заголовок LC_LOAD_DYLIB в бинарном файле Mach-O указывает системам macOS и OS X, какие динамические библиотеки (dylibs) следует загружать во время выполнения. Их можно добавлять по мере необходимости в скомпилированный бинарный файл, внося в остальные поля и зависимости соответствующие изменения. Существуют инструменты для внесения таких изменений.

Злоумышленники могут изменить заголовки бинарного файла Mach-O, чтобы при каждом его запуске загружались и выполнялись вредоносные динамические библиотеки. Практически любые изменения сделают цифровую подпись в бинарном файле недействительной, однако эта проблема может быть решена простым удалением команды LC_CODE_SIGNATURE из бинарного файла, чтобы подпись не проверялась во время его загрузки.

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого выполнением зараженных бинарных файлов.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Изменения в бинарных файлах, которые не связаны с установкой обновлений и исправлений приложения, также служат признаком подозрительной деятельности.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы, которые могут изменять заголовки бинарных файлов.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в бинарных файлах приложений и некорректные контрольные суммы или подписи.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого выполнением зараженных бинарных файлов.
DS0022	Файл: Метаданные файла	Изменения в бинарных файлах, которые не связаны с установкой обновлений и исправлений приложения, также служат признаком подозрительной деятельности.
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.
DS0009	Процесс: Создание процесса	Отслеживайте процессы, которые могут изменять заголовки бинарных файлов.
DS0022	Файл: Изменение файла	Отслеживайте изменения в бинарных файлах приложений и некорректные контрольные суммы или подписи.

Меры противодействия

ID	M1047	Название	Аудит	Описание	Бинарные файлы также могут быть проверены на предмет того, какие динамические библиотеки они требуют, и если приложение требует новую динамическую библиотеку, которая не была включена в обновление, ее необходимо исследовать.

ID	M1038	Название	Защита от выполнения	Описание	Разрешите использование известных хешей.

ID	M1045	Название	Подпись исполняемого кода	Описание	Проследите, чтобы все бинарные файлы были подписаны правильными идентификаторами разработчика Apple.

ID	Название	Описание
M1047	Аудит	Бинарные файлы также могут быть проверены на предмет того, какие динамические библиотеки они требуют, и если приложение требует новую динамическую библиотеку, которая не была включена в обновление, ее необходимо исследовать.
M1038	Защита от выполнения	Разрешите использование известных хешей.
M1045	Подпись исполняемого кода	Проследите, чтобы все бинарные файлы были подписаны правильными идентификаторами разработчика Apple.