Техника на mitre.org

T1547.009: Изменение ярлыков

Злоумышленники могут создавать или модифицировать ярлыки, запускающие программы во время загрузки системы или входа пользователя в систему. Ярлыки или символьные ссылки используются для указания на другие файлы или программы, которые открываются или выполняются при щелчке по ярлыку или во время запуска системы.

Злоумышленники могут использовать ярлыки в папке автозагрузки для запуска своих вредоносных инструментов и закрепления в системе. Ярлыки часто используются в качестве полезной нагрузки в цепочке заражения (например, при целевом фишинге с вложением), однако злоумышленники также могут создать новый ярлык для обмана пользователей, используя маскировку, чтобы он выглядел как ярлык легитимной программы. Злоумышленники также могут изменить целевой путь в ярлыке или полностью заменить существующий ярлык, чтобы вместо легитимной программы было запущено вредоносное ПО.

Для закрепления в системе ярлыки могут эксплуатироваться и другими методами. Например, злоумышленники могут изменить браузерные расширения для работы с файлами LNK (техника Расширения браузеров), чтобы систематически запускать вредоносное ПО.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-269: Windows_Autorun_Modification: Изменен состав автозапуска ОС Windows

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	После создания ярлыка его целевой путь не должен изменяться. Любые изменения, не связанные с обновлениями, исправлениями или удалением ПО, следует считать подозрительными. При анализе следует сопоставить изменения ярлыков с другими подозрительными событиями, опираясь на известные факты о поведении злоумышленников, включая запуск неизвестных исполняемых файлов, пытающихся установить связь с сетью.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут создавать или модифицировать ярлыки, запускающие программы во время загрузки системы или входа пользователя в систему.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте попытки создания LNK-файлов со значением показателя Zone Identifier выше 1 — это может свидетельствовать о том, что LNK-файл изначально был создан за пределами сети. При анализе следует сопоставить изменения ярлыков с другими подозрительными событиями, опираясь на известные факты о поведении злоумышленников, включая запуск неизвестных исполняемых файлов, пытающихся установить связь с сетью.

ID	Источник и компонент данных	Описание
DS0022	Файл: Изменение файла	После создания ярлыка его целевой путь не должен изменяться. Любые изменения, не связанные с обновлениями, исправлениями или удалением ПО, следует считать подозрительными. При анализе следует сопоставить изменения ярлыков с другими подозрительными событиями, опираясь на известные факты о поведении злоумышленников, включая запуск неизвестных исполняемых файлов, пытающихся установить связь с сетью.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут создавать или модифицировать ярлыки, запускающие программы во время загрузки системы или входа пользователя в систему.
DS0022	Файл: Создание файла	Отслеживайте попытки создания LNK-файлов со значением показателя Zone Identifier выше 1 — это может свидетельствовать о том, что LNK-файл изначально был создан за пределами сети. При анализе следует сопоставить изменения ярлыков с другими подозрительными событиями, опираясь на известные факты о поведении злоумышленников, включая запуск неизвестных исполняемых файлов, пытающихся установить связь с сетью.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте разрешения таким образом, чтобы только одобренные группы пользователей, такие как администраторы и необходимые группы для виртуализации, могли создавать символьные ссылки в Windows. Это можно сделать через GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Создание символических ссылок .

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте разрешения таким образом, чтобы только одобренные группы пользователей, такие как администраторы и необходимые группы для виртуализации, могли создавать символьные ссылки в Windows. Это можно сделать через GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Создание символических ссылок .