T1553: Нарушение работы средств контроля доверия
Злоумышленники могут препятствовать работе средств обеспечения безопасности, которые оповещают пользователя о подозрительной активности или мешают выполнению недоверенных программ. Операционные системы и защитные продукты могут содержать механизмы, которые проверяют уровень надежности программ или сайтов. Например, они могут разрешать выполнение программ, подписанных действительным сертификатом, и предупреждать пользователя о запуске программы с меткой "загружено из интернета" или о подключении к недоверенному сайту.
Злоумышленники могут попытаться нарушить работу этих механизмов контроля доверия. Выбор метода зависит от конкретного механизма. Например, они могут воспользоваться техниками Изменение разрешений для файлов и каталогов или Изменение реестра. Злоумышленники могут также создать или украсть сертификаты подписи кода, чтобы сделать свое ПО доверенным в целевой системе.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mssql_database: PT-CR-414: MSSQL_Enable_Nonsecure_Property: Попытка включить потенциально небезопасное свойство базы данных
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Включите ведение журнала событий CryptoAPI v2 (CAPI) для мониторинга и анализа ошибок, связанных с неудачной проверкой доверия (событие с ИД 81; учтите, что эта проверка неэффективна в случае перехвата компонентов поставщика доверия), а также других связанных событий (например, успешных проверок доверия). Журналы событий проверки целостности кода могут содержать индикаторы загрузки вредоносных SIP и поставщиков доверия, как как попытки защищенных процессов загрузить компоненты проверки доверия, созданные злоумышленниками, обычно завершаются отказом (событие с ИД 3033) . |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте создание ключей и подключей в реестре Windows, которые могут свидетельствовать об установке вредоносных корневых сертификатов. Установленные корневые сертификаты хранятся в реестре, в
|
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Включите параметр аудита доступа к глобальным объектам для реестра в политике продвинутого аудита безопасности, чтобы применять глобальный системный список управления доступом (SACL) и аудит событий при модификации значений (под)ключей реестра, связанных с SIP и поставщиками доверия:
Примечание. Применяя данную технику, злоумышленники могут попытаться вручную изменить данные ключи реестра (например, с помощью Regedit) или воспользоваться легитимным процессом регистрации с помощью утилиты Regsvr32. Периодически сравнивайте зарегистрированные SIP и поставщики доверия (записи реестра и файлы диске) со стандартными, уделяя особое внимание новым и измененным записям, а также записям, не сделанным Microsoft. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Обращайте внимание на наличие метки MOTW у файлов (особенно тех, которые загружены из недоверенных источников). Также по возможности осматривайте и сканируйте файлы с форматами, которые обычно используются для обхода MOTW (например, .arj, .gzip, .iso и .vhd). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд, которые могут использоваться для изменения системной политики подписи кода, таких как |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы и аргументы командной строки, которые могут использоваться для изменения системной политики подписи кода, такие как |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Периодически сравнивайте зарегистрированные SIP и поставщики доверия (записи реестра и файлы диске) со стандартными, уделяя особое внимание новым и измененным записям, а также записям, не сделанным Microsoft. Кроме того, проводите анализ данных Autoruns на предмет необычных и аномальных изменений — особое внимание стоит уделять вредоносным файлам, которые могут быть скрыты в каталогах автоматического запуска для обеспечения их постоянного выполнения и закрепления в системе. По умолчанию Autoruns скрывает записи с подписями от Microsoft или Windows, поэтому рекомендуется проследить, чтобы параметры "Скрыть подписанные записи Майкрософт" (Hide Microsoft Entries) и "Скрыть подписанные записи Windows" (Hide Windows Entries) были не активны. |
---|
Меры противодействия
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы для реестра были установлены соответствующие разрешения, чтобы пользователи не могли изменять разделы, связанные с политикой подписания кода. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте использование учетных записей локального администратора и администратора домена для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Групповая политика Windows может использоваться для управления корневыми сертификатами, и значение |
---|
ID | M1038 | Название | Защита от выполнения | Описание | В системных настройках можно запретить запуск приложений, загруженных не через Apple Store, что поможет устранить некоторые из этих проблем. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | HTTP Public Key Pinning (HPKP) — это один из методов смягчения потенциальных ситуаций Adversary-in-the-Middle, когда злоумышленник использует неправильно выданный или поддельный сертификат для перехвата зашифрованных сообщений, обеспечивая использование ожидаемого сертификата . |
---|