T1553.005: Обход ограничений веб-меток безопасности (MOTW)
Злоумышленники могут использовать файлы определенных форматов для обхода ограничений веб-меток безопасности (MOTW). К файлам, загружаемым из интернета, Windows добавляет скрытый альтернативный поток данных NTFS Zone.Identifier
с идентификатором, известным как MOTW. Файлы с меткой MOTW не могут выполнять некоторые действия. Например, Microsoft Office, начиная с версии 10, открывает файлы с меткой MOTW в режиме защищенного просмотра. Фильтр SmartScreen Защитника Windows проверяет исполняемые файлы с меткой MOTW по списку разрешенных известных исполняемых файлов, предотвращая выполнение неизвестных или недоверенных файлов и предупреждая пользователя о том, что их запуск не рекомендуется.
Злоумышленники могут использовать файлы-контейнеры, например архивы (.arj, .gzip) и (или) образы дисков (.iso, .vhd), для доставки полезных нагрузок без метки MOTW. Файлы-контейнеры, загруженные из интернета, будут иметь метку MOTW, однако файлы внутри этих контейнеров не всегда наследуют метку MOTW после распаковки архива или монтирования образа. MOTW — это функция NTFS, и многие файлы-контейнеры не поддерживают альтернативные потоки данных NTFS. После распаковки архива или монтирования образа система может воспринимать содержащиеся в них файлы как локальные и выполнять их, не задействуя защитных механизмов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1750: Process_from_Mounted_Disk: Запуск процесса со смонтированного диска
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor compressed/archive and image files downloaded from the Internet as the contents may not be tagged with the MOTW. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Monitor files (especially those downloaded from untrusted locations) for MOTW attributes. Also consider inspecting and scanning file formats commonly abused to bypass MOTW (ex: .arj, .gzip, .iso, .vhd). |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Consider blocking container file types at web and/or email gateways. Consider unregistering container file extensions in Windows File Explorer. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Consider disabling auto-mounting of disk image files (i.e., .iso, .img, .vhd, and .vhdx). This can be achieved by modifying the Registry values related to the Windows Explorer file associations in order to disable the automatic Explorer "Mount and Burn" dialog for these file extensions. Note: this will not deactivate the mount functionality itself. |
---|