Техника на mitre.org

T1562: Ослабление защиты

Злоумышленники могут изменить компоненты среды жертвы, чтобы помешать работе средств защиты или отключить их. Это включает ослабление не только превентивной защиты, такой как межсетевые экраны и антивирусы, но и возможностей обнаружения, которые специалисты по безопасности используют для аудита активности и выявления вредоносного поведения. При этом целью злоумышленников может стать как встроенная защита, так и дополнительные решения, установленные пользователями и администраторами.

Злоумышленники могут также мешать рутинным действиям, способствующим соблюдению кибергигиены, например, блокировать выход пользователей из системы или предотвращать выключение компьютера. Подобные ограничения могут дополнительно способствовать вредоносной активности и распространению инцидентов.

Злоумышленники могут атаковать механизмы сбора и анализа событий или нарушать их работу путем вмешательства в другие компоненты системы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

sap_suspicious_user_activity: PT-CR-247: SAPASABAP_GW_Security_Audit_Disabled: Отключение журналирования событий безопасности Gateway sap_suspicious_user_activity: PT-CR-240: SAPASABAP_GW_Audit_Disabled: Отключение журналирования Gateway eltex: PT-CR-2321: Eltex_Fastpath_Disable_Logging: Изменены настройки журналирования

Подтехники

Способы обнаружения

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отсутствие новых записей в журнале `.bash_history` во время сеанса пользователя следует считать подозрительным. Отслеживайте изменение настроек истории команд PowerShell, а именно случаи запуска процессов с аргументами командной строки `-HistorySaveStyle SaveNothing` и использование команд PowerShell `Set-PSReadlineOption -HistorySaveStyle SaveNothing` и `Set-PSReadLineOption -HistorySavePath {File Path}`. На сетевых устройствах отслеживайте пропуски или несоответствия в записях, созданных интерпретаторами командной строки, а также в журналах аутентификации, авторизации и аудита (AAA), включая журналы RADIUS и TACACS+.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Изменения в учетной записи	Описание	Отслеживайте изменения в настройках учетных записей тех пользователей или тенантов, которые могут повлиять на функции ведения журналов в средствах защиты — например, события `Изменить пользователя` и `Изменить лицензию пользователя` в журнале аудита Azure AD.

ID	DS0024	Источник и компонент данных	Реестр Windows: Удаление ключа реестра Windows	Описание	Отслеживайте нетипичное удаление ключей реестра Windows, с помощью которых злоумышленники могут изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в ключах реестра и (или) значения, с помощью которых злоумышленники могут отключать или модифицировать настройки системного межсетевого экрана, включая `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy`.

ID	DS0013	Источник и компонент данных	Данные о работоспособности: Состояние узла	Описание	Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), сопоставляя и сравнивая централизованную телеметрию с подозрительными уведомлениями на отдельных системах.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файле `/etc/audit/audit.rules`, содержащем последовательность команд `auditctl`, которые загружаются во время запуска системы.

ID	DS0022	Источник и компонент данных	Файл: Удаление файла	Описание	Отслеживайте недостающие файлы журналов для машин, которые находились в активной работе.

ID	DS0027	Источник и компонент данных	Драйвер: Загрузка драйвера	Описание	Отслеживайте нетипичную/подозрительную активность драйверов, особенно связанных с EDR и инструментами безопасности. Также обратите внимание на те драйверы, с помощью которых злоумышленники могут отключить протоколы безопасности.

ID	DS0025	Источник и компонент данных	Облачная служба: Изменения в облачной службе	Описание	Отслеживайте неожиданные изменения настроек и (или) данных облачных служб.

ID	DS0025	Источник и компонент данных	Облачная служба: Отключение облачной службы	Описание	Отслеживайте в журналах вызовы API, направленные на отключение журналирования. В AWS отслеживайте такие записи, как `StopLogging` и `DeleteTrail`. В GCP отслеживайте `google.logging.v2.ConfigServiceV2.UpdateSink`. В Azure отслеживайте `az monitor diagnostic-settings delete`. Кроме того, неожиданная потеря источника журнала может указывать на отключение журналирования.

ID	DS0019	Источник и компонент данных	Служба: Метаданные службы	Описание	Отслеживайте контекстные данные службы/демона, включая имя, исполняемый файл и тип запуска, с помощью которых можно изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте аномальное выполнение syslog и других функций, используемых системным журналом.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	По возможности отслеживайте подозрительные процессы, которые могут подменять сообщения систем безопасности и мониторинга.

ID	DS0009	Источник и компонент данных	Процесс: Завершение процесса	Описание	Отслеживайте неожиданное удаление запущенных процессов (например, события Sysmon с ИД 5 или события Windows с ИД 4689), с помощью которых злоумышленники могут изменить компоненты целевой среды, чтобы помешать работе средств защиты или отключить их.

ID	DS0009	Источник и компонент данных	Процесс: Изменения в процессе	Описание	Используя другой процесс или сторонние инструменты, отслеживайте потенциально вредоносные изменения или обращения к системному процессу `auditd`.

ID	DS0018	Источник и компонент данных	Межсетевой экран: Отключение межсетевого экрана	Описание	Отслеживайте изменения статуса системного межсетевого экрана, в частности, события системы аудита безопасности Windows с ИД 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows).

ID	DS0018	Источник и компонент данных	Межсетевой экран: Изменения в правилах межсетевого экрана	Описание	Отслеживайте создание и изменение групп безопасности или правил межсетевых экранов в облачных журналах.

ID	Источник и компонент данных	Описание
DS0012	Сценарий: Выполнение сценария	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.
DS0017	Команда: Выполнение команд	Отсутствие новых записей в журнале `.bash_history` во время сеанса пользователя следует считать подозрительным. Отслеживайте изменение настроек истории команд PowerShell, а именно случаи запуска процессов с аргументами командной строки `-HistorySaveStyle SaveNothing` и использование команд PowerShell `Set-PSReadlineOption -HistorySaveStyle SaveNothing` и `Set-PSReadLineOption -HistorySavePath {File Path}`. На сетевых устройствах отслеживайте пропуски или несоответствия в записях, созданных интерпретаторами командной строки, а также в журналах аутентификации, авторизации и аудита (AAA), включая журналы RADIUS и TACACS+.
DS0002	Учетная запись пользователя: Изменения в учетной записи	Отслеживайте изменения в настройках учетных записей тех пользователей или тенантов, которые могут повлиять на функции ведения журналов в средствах защиты — например, события `Изменить пользователя` и `Изменить лицензию пользователя` в журнале аудита Azure AD.
DS0024	Реестр Windows: Удаление ключа реестра Windows	Отслеживайте нетипичное удаление ключей реестра Windows, с помощью которых злоумышленники могут изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в ключах реестра и (или) значения, с помощью которых злоумышленники могут отключать или модифицировать настройки системного межсетевого экрана, включая `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy`.
DS0013	Данные о работоспособности: Состояние узла	Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), сопоставляя и сравнивая централизованную телеметрию с подозрительными уведомлениями на отдельных системах.
DS0022	Файл: Изменение файла	Отслеживайте изменения в файле `/etc/audit/audit.rules`, содержащем последовательность команд `auditctl`, которые загружаются во время запуска системы.
DS0022	Файл: Удаление файла	Отслеживайте недостающие файлы журналов для машин, которые находились в активной работе.
DS0027	Драйвер: Загрузка драйвера	Отслеживайте нетипичную/подозрительную активность драйверов, особенно связанных с EDR и инструментами безопасности. Также обратите внимание на те драйверы, с помощью которых злоумышленники могут отключить протоколы безопасности.
DS0025	Облачная служба: Изменения в облачной службе	Отслеживайте неожиданные изменения настроек и (или) данных облачных служб.
DS0025	Облачная служба: Отключение облачной службы	Отслеживайте в журналах вызовы API, направленные на отключение журналирования. В AWS отслеживайте такие записи, как `StopLogging` и `DeleteTrail`. В GCP отслеживайте `google.logging.v2.ConfigServiceV2.UpdateSink`. В Azure отслеживайте `az monitor diagnostic-settings delete`. Кроме того, неожиданная потеря источника журнала может указывать на отключение журналирования.
DS0019	Служба: Метаданные службы	Отслеживайте контекстные данные службы/демона, включая имя, исполняемый файл и тип запуска, с помощью которых можно изменить компоненты среды атакуемого, чтобы помешать работе средств защиты или отключить их.
DS0009	Процесс: Вызовы API ОС	Отслеживайте аномальное выполнение syslog и других функций, используемых системным журналом.
DS0009	Процесс: Создание процесса	По возможности отслеживайте подозрительные процессы, которые могут подменять сообщения систем безопасности и мониторинга.
DS0009	Процесс: Завершение процесса	Отслеживайте неожиданное удаление запущенных процессов (например, события Sysmon с ИД 5 или события Windows с ИД 4689), с помощью которых злоумышленники могут изменить компоненты целевой среды, чтобы помешать работе средств защиты или отключить их.
DS0009	Процесс: Изменения в процессе	Используя другой процесс или сторонние инструменты, отслеживайте потенциально вредоносные изменения или обращения к системному процессу `auditd`.
DS0018	Межсетевой экран: Отключение межсетевого экрана	Отслеживайте изменения статуса системного межсетевого экрана, в частности, события системы аудита безопасности Windows с ИД 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows).
DS0018	Межсетевой экран: Изменения в правилах межсетевого экрана	Отслеживайте создание и изменение групп безопасности или правил межсетевых экранов в облачных журналах.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать брандмауэр или вносить изменения в его настройки.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Проследите, чтобы у процессов и файлов были надлежащие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленником.

ID	M1024	Название	Ограничение прав доступа к реестру	Описание	Проследите, чтобы в реестре были соответствующие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленниками.

ID	M1038	Название	Защита от выполнения	Описание	Используйте контроль приложений там, где это необходимо, особенно в отношении выполнения инструментов, выходящих за рамки политик безопасности организации (например, инструментов для удаления руткитов), которые были использованы для ослабления защиты системы. Проследите, чтобы в корпоративных системах использовались и работали только одобренные приложения для обеспечения безопасности.

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять системные брандмауэры имеют только те пользователи и роли, которым это требуется.

ID	M1054	Название	Изменение конфигурации ПО	Описание	Проследите, чтобы средства защиты конечных точек работали в безопасном режиме.

ID	Название	Описание
M1018	Управление учетными записями	Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать брандмауэр или вносить изменения в его настройки.
M1022	Ограничение разрешений для файлов и каталогов	Проследите, чтобы у процессов и файлов были надлежащие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленником.
M1024	Ограничение прав доступа к реестру	Проследите, чтобы в реестре были соответствующие разрешения, чтобы предотвратить отключение или изменение настроек брандмауэра злоумышленниками.
M1038	Защита от выполнения	Используйте контроль приложений там, где это необходимо, особенно в отношении выполнения инструментов, выходящих за рамки политик безопасности организации (например, инструментов для удаления руткитов), которые были использованы для ослабления защиты системы. Проследите, чтобы в корпоративных системах использовались и работали только одобренные приложения для обеспечения безопасности.
M1047	Аудит	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять системные брандмауэры имеют только те пользователи и роли, которым это требуется.
M1054	Изменение конфигурации ПО	Проследите, чтобы средства защиты конечных точек работали в безопасном режиме.