MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1553.002: Подпись исполняемого кода

Злоумышленники могут создать, получить или украсть средства подписи исполняемого кода и использовать их для подписывания собственных вредоносных программ и инструментов. Подписывание кода разработчиком является одним из уровней подтверждения подлинности бинарного файла и гарантирует, что файл не подвергался изменениям . Для реализации этой техники используются сертификаты, которые злоумышленники могут создать, получить или украсть . В отличие от техники Недействительная подпись кода, в этом случае злоумышленники пользуются действительной подписью.

В современных версиях Windows и macOS может использоваться технология проверки подписи кода впервые запущенного приложения. В Linux эта технология не используется из-за децентрализованной архитектуры платформы .

Сертификаты подписи кода могут использоваться для обхода политик безопасности, которые разрешают запускать только подписанный код.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-780: Process_Herpaderping_Injection: Использование техники Process Herpaderping, применяемой для обхода антивирусных и защитных механизмов путем изменения содержимого файла после его отображения в памяти, но до инициации первого потока

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Собирайте и анализируйте метаданные сертификатов подписи для ПО, которое выполняется в среде, и обращайте внимание на нетипичные особенности сертификатов.