Техника на mitre.org

T1559: Межпроцессное взаимодействие

Злоумышленники могут злоупотреблять механизмами межпроцессного взаимодействия (IPC), чтобы выполнять локально команды или код. Обычно IPC используется процессами для обмена данными, взаимодействия друг с другом или синхронизации выполнения. IPC также часто используется, чтобы избежать взаимоблокировок, когда процессы зависают, ожидая друг друга в цикле.

Злоумышленники могут воспользоваться IPC для выполнения произвольного кода или команд. Механизмы IPC могут различаться в зависимости от ОС, но обычно к ним можно обращаться, используя языки программирования, через библиотеки или встроенные интерфейсы, такие как DDE и COM в Windows. В среде Linux поддерживается несколько различных механизмов IPC, два из которых — сокеты и каналы. Среды выполнения более высокого уровня, такие как интерпретаторы командной строки и сценариев, также могут обращаться к внутренним механизмам IPC. Злоумышленники также могут воспользоваться службами удаленного доступа, такими как распределенная COM-модель, чтобы реализовать удаленное выполнение IPC.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Способы обнаружения

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте COM-объекты, загружающие DLL и другие модулей, не связанные с приложением.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, связанных с COM-объектами; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем.

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности.

ID	DS0009	Источник и компонент данных	Процесс: Обращение к процессу	Описание	Отслеживайте процессы, которые выполняют аномальные вызовы других процессов с более высоким уровнем привилегий, например подключения пользовательских приложений к VPN-сервису.

ID	Источник и компонент данных	Описание
DS0011	Модуль: Загрузка модуля	Отслеживайте COM-объекты, загружающие DLL и другие модулей, не связанные с приложением.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, связанных с COM-объектами; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем.
DS0012	Сценарий: Выполнение сценария	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности.
DS0009	Процесс: Обращение к процессу	Отслеживайте процессы, которые выполняют аномальные вызовы других процессов с более высоким уровнем привилегий, например подключения пользовательских приложений к VPN-сервису.

Меры противодействия

ID	M1013	Название	Руководство для разработчиков приложений	Описание	При разработке приложений активируйте Hardened Runtime. Не включайте право `com.apple.security.get-task-allow` с каким-либо значением, трактующимся как true.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в `HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\AppID\\{AppID_GUID}`, связанные с безопасностью отдельных COM-приложений в масштабе всего процесса. Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в `HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole`, связанные с общесистемными настройками безопасности по умолчанию для всех COM-приложений, которые не устанавливают свою собственную безопасность в рамках всего процесса.

ID	M1040	Название	Предотвращение некорректного поведения	Описание	В Windows 10 включите правила Attack Surface Reduction (ASR) для предотвращения атак DDE и порождения дочерних процессов из программ Office.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Для отключения автоматического выполнения DDE/OLE можно установить ключи реестра, специфичные для безопасности управления функциями Microsoft Office . Microsoft также создала и включила по умолчанию ключи реестра, чтобы полностью отключить выполнение DDE в Word и Excel.

ID	M1048	Название	Изоляция и помещение в песочницу приложений	Описание	Проследите, чтобы все предупреждения COM и функция Protected View были включены.

ID	M1054	Название	Изменение конфигурации ПО	Описание	По возможности отключите встроенные файлы в программах Office, такие как OneNote, которые не работают с Protected View.

ID	Название	Описание
M1013	Руководство для разработчиков приложений	При разработке приложений активируйте Hardened Runtime. Не включайте право `com.apple.security.get-task-allow` с каким-либо значением, трактующимся как true.
M1026	Управление привилегированными учетными записями	Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в `HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\AppID\\{AppID_GUID}`, связанные с безопасностью отдельных COM-приложений в масштабе всего процесса. Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в `HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole`, связанные с общесистемными настройками безопасности по умолчанию для всех COM-приложений, которые не устанавливают свою собственную безопасность в рамках всего процесса.
M1040	Предотвращение некорректного поведения	В Windows 10 включите правила Attack Surface Reduction (ASR) для предотвращения атак DDE и порождения дочерних процессов из программ Office.
M1042	Отключение или удаление компонента или программы	Для отключения автоматического выполнения DDE/OLE можно установить ключи реестра, специфичные для безопасности управления функциями Microsoft Office . Microsoft также создала и включила по умолчанию ключи реестра, чтобы полностью отключить выполнение DDE в Word и Excel.
M1048	Изоляция и помещение в песочницу приложений	Проследите, чтобы все предупреждения COM и функция Protected View были включены.
M1054	Изменение конфигурации ПО	По возможности отключите встроенные файлы в программах Office, такие как OneNote, которые не работают с Protected View.