Техника на mitre.org

T1546.013: Профиль PowerShell

Злоумышленники могут закрепиться в системе и повысить свои привилегии путем запуска вредоносного содержимого, активируемого профилями PowerShell. Профиль PowerShell (profile.ps1) — это сценарий, который выполняется при запуске PowerShell и может использоваться в качестве сценария входа в систему для настройки пользовательской среды.

PowerShell поддерживает несколько профилей в зависимости от пользователя или хост-программы. Например, для таких хост-программ PowerShell, как консоль PowerShell, PowerShell ISE или Visual Studio Code, могут быть назначены разные профили. Администратор также может задать профиль, который будет применяться ко всем пользователям и хост-программам на локальном компьютере .

Для закрепления в системе злоумышленники могут изменить эти профили, добавив в них нужные команды, функции, модули и (или) диски PowerShell. Измененный сценарий будет выполняться каждый раз, когда пользователь открывает сессию PowerShell, если при ее запуске не используется флаг -NoProfile .

Злоумышленник также может повысить свои привилегии, если сценарий в профиле PowerShell будет загружен и выполнен от имени учетной записи с более высокими привилегиями, например от имени администратора домена .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Для новых профилей рекомендуется отслеживать каталоги, в которых может храниться файл `profile.ps1` . Варианты местоположения профилей включают: `$PsHome\Profile.ps1` `$PsHome\Microsoft.{HostProgram}_profile.ps1` `$Home\My Documents\PowerShell\Profile.ps1` `$Home\My Documents\PowerShell\Microsoft.{HostProgram}_profile.ps1`

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Для новых профилей рекомендуется отслеживать изменения в каталогах, в которых может храниться файл `profile.ps1` . Варианты местоположения профилей включают: `$PsHome\Profile.ps1` `$PsHome\Microsoft.{HostProgram}_profile.ps1` `$Home\My Documents\PowerShell\Profile.ps1` `$Home\My Documents\PowerShell\Microsoft.{HostProgram}_profile.ps1`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе и повышения уровня привилегий путем запуска вредоносного содержимого, активируемого профилями PowerShell.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте аномальные команды PowerShell, нетипичные загрузки дисков и модулей PowerShell.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Для новых профилей рекомендуется отслеживать каталоги, в которых может храниться файл `profile.ps1` . Варианты местоположения профилей включают: `$PsHome\Profile.ps1` `$PsHome\Microsoft.{HostProgram}_profile.ps1` `$Home\My Documents\PowerShell\Profile.ps1` `$Home\My Documents\PowerShell\Microsoft.{HostProgram}_profile.ps1`
DS0022	Файл: Изменение файла	Для новых профилей рекомендуется отслеживать изменения в каталогах, в которых может храниться файл `profile.ps1` . Варианты местоположения профилей включают: `$PsHome\Profile.ps1` `$PsHome\Microsoft.{HostProgram}_profile.ps1` `$Home\My Documents\PowerShell\Profile.ps1` `$Home\My Documents\PowerShell\Microsoft.{HostProgram}_profile.ps1`
DS0009	Процесс: Создание процесса	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе и повышения уровня привилегий путем запуска вредоносного содержимого, активируемого профилями PowerShell.
DS0017	Команда: Выполнение команд	Отслеживайте аномальные команды PowerShell, нетипичные загрузки дисков и модулей PowerShell.

Меры противодействия

ID	M1045	Название	Подпись исполняемого кода	Описание	Обеспечьте выполнение только подписанных сценариев PowerShell. Подпишите профили, чтобы избежать их изменения.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Если сделать профили PowerShell доступными для изменения только определенным администраторам, это усложнит злоумышленникам закрепление в системе на уровне пользователя.

ID	M1054	Название	Изменение конфигурации ПО	Описание	Избегайте профилей PowerShell, если в них нет необходимости. Используйте флаг -No Profile при удаленном выполнении сценариев PowerShell, чтобы предотвратить выполнение локальных профилей и сценариев.

ID	Название	Описание
M1045	Подпись исполняемого кода	Обеспечьте выполнение только подписанных сценариев PowerShell. Подпишите профили, чтобы избежать их изменения.
M1022	Ограничение разрешений для файлов и каталогов	Если сделать профили PowerShell доступными для изменения только определенным администраторам, это усложнит злоумышленникам закрепление в системе на уровне пользователя.
M1054	Изменение конфигурации ПО	Избегайте профилей PowerShell, если в них нет необходимости. Используйте флаг -No Profile при удаленном выполнении сценариев PowerShell, чтобы предотвратить выполнение локальных профилей и сценариев.