MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1562: Ослабление защиты

Злоумышленники могут изменить компоненты среды жертвы, чтобы помешать работе средств защиты или отключить их. Это включает ослабление не только превентивной защиты, такой как межсетевые экраны и антивирусы, но и возможностей обнаружения, которые специалисты по безопасности используют для аудита активности и выявления вредоносного поведения. При этом целью злоумышленников может стать как встроенная защита, так и дополнительные решения, установленные пользователями и администраторами.

Злоумышленники могут также мешать рутинным действиям, способствующим соблюдению кибергигиены, например, блокировать выход пользователей из системы или предотвращать выключение компьютера. Подобные ограничения могут дополнительно способствовать вредоносной активности и распространению инцидентов.

Злоумышленники могут атаковать механизмы сбора и анализа событий или нарушать их работу путем вмешательства в другие компоненты системы.

Какие продукты Positive Technologies покрывают технику

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Удаление ключа реестра WindowsОписание

Отслеживайте нетипичное удаление ключей реестра Windows, с помощью которых злоумышленники могут изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте аномальное выполнение syslog и других функций, используемых системным журналом.

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Отслеживайте нетипичную/подозрительную активность драйверов, особенно связанных с EDR и инструментами безопасности. Также обратите внимание на те драйверы, с помощью которых злоумышленники могут отключить протоколы безопасности.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

По возможности отслеживайте подозрительные процессы, которые могут подменять сообщения систем безопасности и мониторинга.

IDDS0009Источник и компонент данныхПроцесс: Завершение процессаОписание

Отслеживайте неожиданное удаление запущенных процессов (например, события Sysmon с ИД 5 или события Windows с ИД 4689), с помощью которых злоумышленники могут изменить компоненты целевой среды, чтобы помешать работе средств защиты или отключить их.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отсутствие новых записей в журнале .bash_history во время сеанса пользователя следует считать подозрительным. Отслеживайте изменение настроек истории команд PowerShell, а именно случаи запуска процессов с аргументами командной строки -HistorySaveStyle SaveNothing и использование команд PowerShell Set-PSReadlineOption -HistorySaveStyle SaveNothing и Set-PSReadLineOption -HistorySavePath {File Path}. На сетевых устройствах отслеживайте пропуски или несоответствия в записях, созданных интерпретаторами командной строки, а также в журналах аутентификации, авторизации и аудита (AAA), включая журналы RADIUS и TACACS+.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Отслеживайте контекстные данные службы/демона, включая имя, исполняемый файл и тип запуска, с помощью которых можно изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файле /etc/audit/audit.rules, содержащем последовательность команд auditctl, которые загружаются во время запуска системы.

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), сопоставляя и сравнивая централизованную телеметрию с подозрительными уведомлениями на отдельных системах.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0018Источник и компонент данныхМежсетевой экран: Отключение межсетевого экранаОписание

Отслеживайте изменения статуса системного межсетевого экрана, в частности, события системы аудита безопасности Windows с ИД 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows).

IDDS0002Источник и компонент данныхУчетная запись пользователя: Изменения в учетной записиОписание

Отслеживайте изменения в настройках учетных записей тех пользователей или тенантов, которые могут повлиять на функции ведения журналов в средствах защиты — например, события Изменить пользователя и Изменить лицензию пользователя в журнале аудита Azure AD.

IDDS0018Источник и компонент данныхМежсетевой экран: Изменения в правилах межсетевого экранаОписание

Отслеживайте создание и изменение групп безопасности или правил межсетевых экранов в облачных журналах.

IDDS0009Источник и компонент данныхПроцесс: Изменения в процессеОписание

Используя другой процесс или сторонние инструменты, отслеживайте потенциально вредоносные изменения или обращения к системному процессу auditd.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра и (или) значения, с помощью которых злоумышленники могут отключать или модифицировать настройки системного межсетевого экрана, включая HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy.

IDDS0025Источник и компонент данныхОблачная служба: Изменения в облачной службеОписание

Отслеживайте неожиданные изменения настроек и (или) данных облачных служб.

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте недостающие файлы журналов для машин, которые находились в активной работе.

IDDS0025Источник и компонент данныхОблачная служба: Отключение облачной службыОписание

Отслеживайте в журналах вызовы API, направленные на отключение журналирования. В AWS отслеживайте такие записи, как StopLogging и DeleteTrail. В GCP отслеживайте google.logging.v2.ConfigServiceV2.UpdateSink. В Azure отслеживайте az monitor diagnostic-settings delete. Кроме того, неожиданная потеря источника журнала может указывать на отключение журналирования.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать брандмауэр или вносить изменения в его настройки.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы у процессов и файлов были надлежащие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленником.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Проследите, чтобы в реестре были соответствующие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленниками.

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений там, где это необходимо, особенно в отношении выполнения инструментов, выходящих за рамки политик безопасности организации (например, инструментов для удаления руткитов), которые были использованы для ослабления защиты системы. Проследите, чтобы в корпоративных системах использовались и работали только одобренные приложения для обеспечения безопасности.

IDM1047НазваниеАудитОписание

Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять системные брандмауэры имеют только те пользователи и роли, которым это требуется.

IDM1054НазваниеИзменение конфигурации ПООписание

Проследите, чтобы средства защиты конечных точек работали в безопасном режиме.