T1553.005: Обход ограничений веб-меток безопасности (MOTW)
Злоумышленники могут использовать файлы определенных форматов для обхода ограничений веб-меток безопасности (MOTW). К файлам, загружаемым из интернета, Windows добавляет скрытый альтернативный поток данных NTFS Zone.Identifier с идентификатором, известным как MOTW. Файлы с меткой MOTW не могут выполнять некоторые действия. Например, Microsoft Office, начиная с версии 10, открывает файлы с меткой MOTW в режиме защищенного просмотра. Фильтр SmartScreen Защитника Windows проверяет исполняемые файлы с меткой MOTW по списку разрешенных известных исполняемых файлов, предотвращая выполнение неизвестных или недоверенных файлов и предупреждая пользователя о том, что их запуск не рекомендуется.
Злоумышленники могут использовать файлы-контейнеры, например архивы (.arj, .gzip) и (или) образы дисков (.iso, .vhd), для доставки полезных нагрузок без метки MOTW. Файлы-контейнеры, загруженные из интернета, будут иметь метку MOTW, однако файлы внутри этих контейнеров не всегда наследуют метку MOTW после распаковки архива или монтирования образа. MOTW — это функция NTFS, и многие файлы-контейнеры не поддерживают альтернативные потоки данных NTFS. После распаковки архива или монтирования образа система может воспринимать содержащиеся в них файлы как локальные и выполнять их, не задействуя защитных механизмов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1750: Process_From_Mounted_Disk: Запуск процесса со смонтированного диска vulnerabilities: PT-CR-2841: CVE_2025_0411_7Zip_MotW_Bypass: Возможная эксплуатация уязвимости CVE-2025-0411 в архиваторе 7-Zip. Эта уязвимость позволяет обойти механизм предотвращения запуска недоверенного ПО (Mark of the Web) путем двойного архивирования исполняемого файла vulnerabilities: PT-CR-2840: Subrule_CVE_2025_0411_7Zip_MotW_Bypass: Запущен процесс из архива 7-Zip. Версия архиватора 7-Zip может содержать уязвимость CVE-2025-0411
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте сжатые файлы, архивы и изображения, которые загружаются из интернета, — их содержимое может не иметь метки MOTW. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Обращайте внимание на наличие метки MOTW у файлов (особенно тех, которые загружены из недоверенных источников). Также по возможности осматривайте и сканируйте файлы форматов, которые обычно используются для обхода MOTW (например, с расширениями .arj, .gzip, .iso и .vhd). |
|---|
Меры противодействия
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите автоматическое монтирование файлов образов дисков (например, .iso, .img, .vhd и .vhdx). Этого можно добиться, изменив значения реестра, связанные с ассоциациями файлов проводника Windows, чтобы отключить автоматический диалог проводника Mount and Burn для этих расширений файлов. Примечание. Это не приведет к деактивации самой функции монтирования. |
|---|
| ID | M1038 | Название | Защита от выполнения | Описание | По возможности блокируйте контейнерные типы файлов на веб-шлюзах и (или) шлюзах электронной почты. По возможности снимайте регистрацию расширений файлов-контейнеров в проводнике файлов Windows. |
|---|