T1562.006: Блокировка сбора признаков активности

Злоумышленник может попытаться заблокировать сбор и анализ индикаторов или событий, которые обычно фиксируются датчиками. Такие действия могут включать злонамеренное перенаправление или даже отключение датчиков хоста, таких как трассировка событий Windows (ETW), путем изменения настроек, отвечающих за сбор и передачу телеметрии событий. Эти настройки могут храниться в конфигурационных файлах и (или) в реестре системы, а также доступны через утилиты администрирования, такие как PowerShell или инструментарий управления Windows.

Например, злоумышленники могут изменить значение File в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security, чтобы скрыть свою вредоносную активность в новом или другом файле журнала EVTX. Изменение сразу вступает в силу — перезагружать систему не нужно.

Прервать работу ETW можно несколькими способами, но самый очевидный — поменять настройки с помощью командлета PowerShell Set-EtwTraceProvider либо внести изменения в реестр напрямую.

Злоумышленник может заблокировать трафик отчетности, чтобы помешать централизованному анализу индикаторов, передаваемых по сети. Этого можно достичь разными способами, например остановкой локального процесса, который перенаправляет телеметрию, и (или) созданием в системе правила межсетевого экрана для блокировки трафика к хостам, собирающим события, таким как SIEM-системы.

В средах Linux злоумышленники могут отключить или перенастроить инструменты обработки журналов, такие как syslog или nxlog, чтобы затруднить обнаружение и мониторинг своих дальнейших действий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

oracle_database: PT-CR-276: Oracle_Audit_Disable_via_drop_policy: Журнал аудита в СУБД Oracle отключен из-за удаленной политики oracle_database: PT-CR-277: Oracle_Audit_Disable_via_noaudit: Журнал аудита в СУБД Oracle отключен из-за выполнения команды NOAUDIT oracle_database: PT-CR-274: Oracle_Audit_Disable_for_sysdba: Журнал аудита отключен для пользователей с привилегией SYSDBA в СУБД Oracle oracle_database: PT-CR-273: Oracle_Audit_Disable: Журнал аудита отключен в СУБД Oracle oracle_database: PT-CR-275: Oracle_Audit_Disable_via_disable_policy: Журнал аудита в СУБД Oracle отключен из-за отключения политики mitre_attck_defense_evasion: PT-CR-522: Audit_XP_Params_Change: Изменены параметры политики аудита mitre_attck_defense_evasion: PT-CR-1368: Disable_Sysmon: Служба Sysmon изменена или отключена mitre_attck_defense_evasion: PT-CR-458: Sysmon_Driver_Unload: Пользователь выгрузил драйвер Sysmon mitre_attck_defense_evasion: PT-CR-2489: SysmonQuiet_Usage: Получен доступ к процессу Sysmon, что может быть признаком активности модуля SysmonQuiet. SysmonQuiet — это aggressor script для Cobalt Strike (для его работы требуются привилегии SeDebugPrivilege). SysmonQuiet использует метод Reflective DLL Loading, который автоматически обнаруживает процесс Sysmon и изменяет его EtwEventWrite API, вызывая сбои в Sysmon, пока процесс и его потоки продолжают работать microsoft_sharepoint: PT-CR-2114: Sharepoint_Part_Logging_Exclude: Пользователь отключил часть журналирования SharePoint unix_mitre_attck_defense_evasion: PT-CR-1660: Unix_Disable_Syslog: Отключение службы журналирования на узле. Атакующие могут использовать отключение, чтобы скрыть свою активность unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования sap_suspicious_user_activity: PT-CR-240: SAPASABAP_GW_Audit_Disabled: Отключение журналирования Gateway sap_suspicious_user_activity: PT-CR-247: SAPASABAP_GW_Security_Audit_Disabled: Отключение журналирования событий безопасности Gateway

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для блокирования сбора и анализа индикаторов или событий, которые обычно фиксируются датчиками. Злоумышленники могут попытаться воспользоваться утилитой командной строки fltmc, чтобы выгрузить драйверы мини-фильтра, используемые датчиками узла, такими как Sysmon, и обойти защитные механизмы. Данная аналитика отслеживает вызовы этой утилиты через командную строку с целью выгрузки драйверов мини-фильтра.

ID	DS0013	Источник и компонент данных	Данные о работоспособности: Состояние узла	Описание	Отслеживайте случаи отсутствия сообщений об активности от датчиков узла. Разные методы блокировки по-разному ограничивают передачу сообщений. Системы могут перестать передавать все или отдельные типы данных. На основании полученной с узла информации аналитик может обнаружить событие, которое вызвало остановку процесса или блокировку соединения. Например, Sysmon регистрирует изменения состояния конфигурации (событие с идентификатором 16), а с помощью инструментария управления Windows (WMI) можно подписаться на поставщиков ETW, которые регистрируют удаление поставщиков из указанных сеансов трассировки .

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Для обнаружения изменений в ETW также можно отслеживать ключ реестра, содержащий настройки всех поставщиков событий ETW: `HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AUTOLOGGER_NAME{PROVIDER_GUID}`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут попытаться заблокировать сбор и анализ индикаторов или событий, обычно фиксируемых датчиками. Аналитика 1. Блокировка сбора признаков активности — выгрузка драйвера `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "fltmc.exe" AND CommandLine= "unload"`

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для блокирования сбора и анализа индикаторов или событий, которые обычно фиксируются датчиками. Злоумышленники могут попытаться воспользоваться утилитой командной строки fltmc, чтобы выгрузить драйверы мини-фильтра, используемые датчиками узла, такими как Sysmon, и обойти защитные механизмы. Данная аналитика отслеживает вызовы этой утилиты через командную строку с целью выгрузки драйверов мини-фильтра.
DS0013	Данные о работоспособности: Состояние узла	Отслеживайте случаи отсутствия сообщений об активности от датчиков узла. Разные методы блокировки по-разному ограничивают передачу сообщений. Системы могут перестать передавать все или отдельные типы данных. На основании полученной с узла информации аналитик может обнаружить событие, которое вызвало остановку процесса или блокировку соединения. Например, Sysmon регистрирует изменения состояния конфигурации (событие с идентификатором 16), а с помощью инструментария управления Windows (WMI) можно подписаться на поставщиков ETW, которые регистрируют удаление поставщиков из указанных сеансов трассировки .
DS0024	Реестр Windows: Изменение ключа реестра Windows	Для обнаружения изменений в ETW также можно отслеживать ключ реестра, содержащий настройки всех поставщиков событий ETW: `HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AUTOLOGGER_NAME{PROVIDER_GUID}`
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут попытаться заблокировать сбор и анализ индикаторов или событий, обычно фиксируемых датчиками. Аналитика 1. Блокировка сбора признаков активности — выгрузка драйвера `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "fltmc.exe" AND CommandLine= "unload"`

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Проследите, чтобы трассировщики/перенаправляющие устройства событий, политики межсетевого экрана и другие связанные с ними механизмы были защищены соответствующими разрешениями и средствами контроля доступа.

ID	M1054	Название	Изменение конфигурации ПО	Описание	По возможности настройте автоматический периодический перезапуск механизмов переадресации (например, по истечении определенного времени или при входе в систему), а также соответствующее управление изменениями в правилах межсетевого экрана и других релевантных системных конфигурациях.

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы процессы отслеживания или пересылки событий, политики межсетевого экрана и другие механизмы были защищены соответствующими правами и средствами управления доступа, и чтобы в них нельзя внести изменения с учетной записью пользователя.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Проследите, чтобы трассировщики/перенаправляющие устройства событий, политики межсетевого экрана и другие связанные с ними механизмы были защищены соответствующими разрешениями и средствами контроля доступа.
M1054	Изменение конфигурации ПО	По возможности настройте автоматический периодический перезапуск механизмов переадресации (например, по истечении определенного времени или при входе в систему), а также соответствующее управление изменениями в правилах межсетевого экрана и других релевантных системных конфигурациях.
M1018	Управление учетными записями	Проследите, чтобы процессы отслеживания или пересылки событий, политики межсетевого экрана и другие механизмы были защищены соответствующими правами и средствами управления доступа, и чтобы в них нельзя внести изменения с учетной записью пользователя.