MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1554: Компрометация бинарных файлов ПО узла

Злоумышленники могут изменить бинарные файлы ПО на хосте для закрепления в системе. Исполняемые и другие бинарные файлы ПО позволяют пользоваться широким спектром системных команд, служб, программ и библиотек. К распространенным бинарным файлам относятся SSH-клиенты, FTP-клиенты, почтовые клиенты, веб-браузеры и множество других пользовательских и серверных приложений.

Злоумышленники могут модифицировать бинарные файлы ПО на узле для закрепления в системе. Например, злоумышленник может заменить легитимный бинарный файл приложения (или вспомогательные файлы) бэкдором или внедрить в него бэкдор. Как правило, приложения или пользователи регулярно обращаются к таким бинарным файлам, поэтому злоумышленник может использовать их для постоянного доступа к устройству.

Злоумышленник также может модифицировать существующий бинарный файл, внедрив в него вредоносные функции (например, используя техники подмены адресов в таблице IAT или изменения точки входа) перед его легитимным выполнением. Например, злоумышленник может изменить точку входа бинарного файла таким образом, что сначала будет выполняться вредоносный код, внедренный злоумышленником, а затем — легитимный код программы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-842: Suspicious_BYOVKD_Driver_Loaded: Загружен драйвер из списка уязвимых драйверов BYOVKD
unix_mitre_attck_persistence: PT-CR-1665: Unix_Lib_Modify: Изменение файла системной библиотеки
unix_mitre_attck_persistence: PT-CR-438: Unix_Bin_Modify: Вероятная попытка внедрения вредоносного кода в системные файлы

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут изменить бинарные файлы клиентского ПО для закрепления в системе.

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте неожиданное удаление бинарных файлов клиентского ПО для закрепления в системе.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в клиентском ПО, которые не связаны с известным ПО, циклами выпуска обновлений и т. п.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Собирайте и анализируйте метаданные сертификатов подписи, и проверяйте, действительны ли подписи программ, выполняемых в среде.

Меры противодействия

IDM1045НазваниеПодпись исполняемого кодаОписание

Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения.