T1562: Ослабление защиты
Злоумышленники могут изменить компоненты среды жертвы, чтобы помешать работе средств защиты или отключить их. Это включает ослабление не только превентивной защиты, такой как межсетевые экраны и антивирусы, но и возможностей обнаружения, которые специалисты по безопасности используют для аудита активности и выявления вредоносного поведения. При этом целью злоумышленников может стать как встроенная защита, так и дополнительные решения, установленные пользователями и администраторами.
Злоумышленники могут также мешать рутинным действиям, способствующим соблюдению кибергигиены, например, блокировать выход пользователей из системы или предотвращать выключение компьютера. Подобные ограничения могут дополнительно способствовать вредоносной активности и распространению инцидентов.
Злоумышленники могут атаковать механизмы сбора и анализа событий или нарушать их работу путем вмешательства в другие компоненты системы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
sap_suspicious_user_activity: PT-CR-240: SAPASABAP_GW_Audit_disabled: Отключение журналирования Gateway
sap_suspicious_user_activity: PT-CR-247: SAPASABAP_GW_Security_audit_disabled: Отключение журналирования событий безопасности Gateway
Подтехники
- T1562.001 Отключение или перенастройка средств защиты
- T1562.002 Отключение журналирования событий Windows
- T1562.003 Нарушение журналирования команд
- T1562.004 Отключение или перенастройка системного межсетевого экрана
- T1562.006 Блокировка сбора признаков активности
- T1562.007 Отключение или перенастройка облачного межсетевого экрана
- T1562.008 Отключение или перенастройка облачного журналирования
- T1562.009 Загрузка в безопасном режиме
- T1562.010 Атака "на понижение"
- T1562.011 Подмена предупреждений системы безопасности
- T1562.012 Отключение или перенастройка системы аудита Linux
Способы обнаружения
ID | DS0024 | Источник и компонент данных | Реестр Windows: Удаление ключа реестра Windows | Описание | Отслеживайте нетипичное удаление ключей реестра Windows, с помощью которых злоумышленники могут изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте аномальное выполнение syslog и других функций, используемых системным журналом. |
---|
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживайте нетипичную/подозрительную активность драйверов, особенно связанных с EDR и инструментами безопасности. Также обратите внимание на те драйверы, с помощью которых злоумышленники могут отключить протоколы безопасности. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | По возможности отслеживайте подозрительные процессы, которые могут подменять сообщения систем безопасности и мониторинга. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Завершение процесса | Описание | Отслеживайте неожиданное удаление запущенных процессов (например, события Sysmon с ИД 5 или события Windows с ИД 4689), с помощью которых злоумышленники могут изменить компоненты целевой среды, чтобы помешать работе средств защиты или отключить их. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отсутствие новых записей в журнале |
---|
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Отслеживайте контекстные данные службы/демона, включая имя, исполняемый файл и тип запуска, с помощью которых можно изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файле |
---|
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), сопоставляя и сравнивая централизованную телеметрию с подозрительными уведомлениями на отдельных системах. |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Отключение межсетевого экрана | Описание | Отслеживайте изменения статуса системного межсетевого экрана, в частности, события системы аудита безопасности Windows с ИД 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows). |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Отслеживайте изменения в настройках учетных записей тех пользователей или тенантов, которые могут повлиять на функции ведения журналов в средствах защиты — например, события |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Изменения в правилах межсетевого экрана | Описание | Отслеживайте создание и изменение групп безопасности или правил межсетевых экранов в облачных журналах. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Изменения в процессе | Описание | Используя другой процесс или сторонние инструменты, отслеживайте потенциально вредоносные изменения или обращения к системному процессу |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра и (или) значения, с помощью которых злоумышленники могут отключать или модифицировать настройки системного межсетевого экрана, включая |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Изменения в облачной службе | Описание | Отслеживайте неожиданные изменения настроек и (или) данных облачных служб. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте недостающие файлы журналов для машин, которые находились в активной работе. |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Отключение облачной службы | Описание | Отслеживайте в журналах вызовы API, направленные на отключение журналирования. В AWS отслеживайте такие записи, как |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать брандмауэр или вносить изменения в его настройки. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы у процессов и файлов были надлежащие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленником. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы в реестре были соответствующие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленниками. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений там, где это необходимо, особенно в отношении выполнения инструментов, выходящих за рамки политик безопасности организации (например, инструментов для удаления руткитов), которые были использованы для ослабления защиты системы. Проследите, чтобы в корпоративных системах использовались и работали только одобренные приложения для обеспечения безопасности. |
---|
ID | M1047 | Название | Аудит | Описание | Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять системные брандмауэры имеют только те пользователи и роли, которым это требуется. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Проследите, чтобы средства защиты конечных точек работали в безопасном режиме. |
---|