T1553: Нарушение работы средств контроля доверия

Злоумышленники могут препятствовать работе средств обеспечения безопасности, которые оповещают пользователя о подозрительной активности или мешают выполнению недоверенных программ. Операционные системы и защитные продукты могут содержать механизмы, которые проверяют уровень надежности программ или сайтов. Например, они могут разрешать выполнение программ, подписанных действительным сертификатом, и предупреждать пользователя о запуске программы с меткой "загружено из интернета" или о подключении к недоверенному сайту.

Злоумышленники могут попытаться нарушить работу этих механизмов контроля доверия. Выбор метода зависит от конкретного механизма. Например, они могут воспользоваться техниками Изменение разрешений для файлов и каталогов или Изменение реестра. Злоумышленники могут также создать или украсть сертификаты подписи кода, чтобы сделать свое ПО доверенным в целевой системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-414: MSSQL_Enable_Nonsecure_Property: Попытка включить потенциально небезопасное свойство базы данных

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Включите ведение журнала событий CryptoAPI v2 (CAPI) для мониторинга и анализа ошибок, связанных с неудачной проверкой доверия (событие с ИД 81; учтите, что эта проверка неэффективна в случае перехвата компонентов поставщика доверия), а также других связанных событий (например, успешных проверок доверия). Журналы событий проверки целостности кода могут содержать индикаторы загрузки вредоносных SIP и поставщиков доверия, как как попытки защищенных процессов загрузить компоненты проверки доверия, созданные злоумышленниками, обычно завершаются отказом (событие с ИД 3033) .

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте создание ключей и подключей в реестре Windows, которые могут свидетельствовать об установке вредоносных корневых сертификатов. Установленные корневые сертификаты хранятся в реестре, в HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates</code> и [HKLM или HKCU]\Software[\Policies]\Microsoft\SystemCertificates\Root\Certificates</code>. В разных версиях Windows присутствует одинаковая подгруппа корневых сертификатов, которые можно использовать для сравнения:

  • 18F7C1FCC3090203FD5BAA2F861A754976C8DD25
  • 245C97DF7514E7CF2DF8BE72AE957B9E04741E85
  • 3B1EFD3A66EA28B16697394703A72CA340A05BD5
  • 7F88CD7223F3C813818C994614A89C99FA3B5247
  • 8F43288AD272F3103B6FB1428485EA3014C0BCFE
  • A43489159A520F0D93D032CCAF37E7FE20A8B419
  • BE36A4562FB2EE05DBB3D32323ADF445084ED656
  • CDD4EEAE6000AC7F40C3802C171E30148030C072
IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Включите параметр аудита доступа к глобальным объектам для реестра в политике продвинутого аудита безопасности, чтобы применять глобальный системный список управления доступом (SACL) и аудит событий при модификации значений (под)ключей реестра, связанных с SIP и поставщиками доверия:

  • HKLM\SOFTWARE\Microsoft\Cryptography\OID
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID
  • HKLM\SOFTWARE\Microsoft\Cryptography\Providers\Trust
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\Providers\Trust

Примечание. Применяя данную технику, злоумышленники могут попытаться вручную изменить данные ключи реестра (например, с помощью Regedit) или воспользоваться легитимным процессом регистрации с помощью утилиты Regsvr32.

Периодически сравнивайте зарегистрированные SIP и поставщики доверия (записи реестра и файлы диске) со стандартными, уделяя особое внимание новым и измененным записям, а также записям, не сделанным Microsoft.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Обращайте внимание на наличие метки MOTW у файлов (особенно тех, которые загружены из недоверенных источников). Также по возможности осматривайте и сканируйте файлы с форматами, которые обычно используются для обхода MOTW (например, .arj, .gzip, .iso и .vhd).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд, которые могут использоваться для изменения системной политики подписи кода, таких как bcdedit.exe -set TESTSIGNING ON .

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы и аргументы командной строки, которые могут использоваться для изменения системной политики подписи кода, такие как bcdedit.exe -set TESTSIGNING ON .

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Периодически сравнивайте зарегистрированные SIP и поставщики доверия (записи реестра и файлы диске) со стандартными, уделяя особое внимание новым и измененным записям, а также записям, не сделанным Microsoft. Кроме того, проводите анализ данных Autoruns на предмет необычных и аномальных изменений — особое внимание стоит уделять вредоносным файлам, которые могут быть скрыты в каталогах автоматического запуска для обеспечения их постоянного выполнения и закрепления в системе. По умолчанию Autoruns скрывает записи с подписями от Microsoft или Windows, поэтому рекомендуется проследить, чтобы параметры "Скрыть подписанные записи Майкрософт" (Hide Microsoft Entries) и "Скрыть подписанные записи Windows" (Hide Windows Entries) были не активны.

Меры противодействия

IDM1024НазваниеОграничение прав доступа к рееструОписание

Проследите, чтобы для реестра были установлены соответствующие разрешения, чтобы пользователи не могли изменять разделы, связанные с политикой подписания кода.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте использование учетных записей локального администратора и администратора домена для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников.

IDM1028НазваниеИзменение конфигурации ОСОписание

Групповая политика Windows может использоваться для управления корневыми сертификатами, и значение Flags в HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots может быть установлено в 1, чтобы запретить пользователям, не являющимся администраторами, производить дальнейшую установку корневых сертификатов в собственное хранилище сертификатов HKCU .

IDM1038НазваниеЗащита от выполненияОписание

В системных настройках можно запретить запуск приложений, загруженных не через Apple Store, что поможет устранить некоторые из этих проблем.

IDM1054НазваниеИзменение конфигурации ПООписание

HTTP Public Key Pinning (HPKP) — это один из методов смягчения потенциальных ситуаций Adversary-in-the-Middle, когда злоумышленник использует неправильно выданный или поддельный сертификат для перехвата зашифрованных сообщений, обеспечивая использование ожидаемого сертификата .