T1554: Компрометация бинарных файлов ПО узла
Злоумышленники могут изменить бинарные файлы ПО на хосте для закрепления в системе. Исполняемые и другие бинарные файлы ПО позволяют пользоваться широким спектром системных команд, служб, программ и библиотек. К распространенным бинарным файлам относятся SSH-клиенты, FTP-клиенты, почтовые клиенты, веб-браузеры и множество других пользовательских и серверных приложений.
Злоумышленники могут модифицировать бинарные файлы ПО на узле для закрепления в системе. Например, злоумышленник может заменить легитимный бинарный файл приложения (или вспомогательные файлы) бэкдором или внедрить в него бэкдор. Как правило, приложения или пользователи регулярно обращаются к таким бинарным файлам, поэтому злоумышленник может использовать их для постоянного доступа к устройству.
Злоумышленник также может модифицировать существующий бинарный файл, внедрив в него вредоносные функции (например, используя техники подмены адресов в таблице IAT или изменения точки входа) перед его легитимным выполнением. Например, злоумышленник может изменить точку входа бинарного файла таким образом, что сначала будет выполняться вредоносный код, внедренный злоумышленником, а затем — легитимный код программы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
hacking_tools: PT-CR-842: Suspicious_BYOVKD_Driver_Loaded: Загружен драйвер из списка уязвимых драйверов BYOVKD
unix_mitre_attck_persistence: PT-CR-1665: Unix_Lib_Modify: Изменение файла системной библиотеки
unix_mitre_attck_persistence: PT-CR-438: Unix_Bin_Modify: Вероятная попытка внедрения вредоносного кода в системные файлы
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут изменить бинарные файлы клиентского ПО для закрепления в системе. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте неожиданное удаление бинарных файлов клиентского ПО для закрепления в системе. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в клиентском ПО, которые не связаны с известным ПО, циклами выпуска обновлений и т. п. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Собирайте и анализируйте метаданные сертификатов подписи, и проверяйте, действительны ли подписи программ, выполняемых в среде. |
---|
Меры противодействия
ID | M1045 | Название | Подпись исполняемого кода | Описание | Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения. |
---|