T1562.010: Атака "на понижение"
Злоумышленники могут понизить версию системных компонентов или использовать устаревшую и уязвимую версию, которая не поддерживает обновленные меры безопасности. Атаки "на понижение" обычно полагаются на функции обратной совместимости системы, чтобы перевести ее в менее безопасные режимы работы.
Злоумышленники могут понизить версию системных функций, например интерпретаторов командной строки и сценариев, до менее безопасной (в случае сетевых протоколов понижение версии может открыть возможность для атаки типа "злоумышленник посередине" или прослушивания сетевого трафика). Например, PowerShell версии 5 и выше включает функцию ведения журнала блоков сценариев (SBL), которая запоминает выполняемые команды. Однако злоумышленники могут попытаться запустить предыдущую версию PowerShell без поддержки SBL, чтобы добиться ослабления защиты и выполнять вредоносные сценарии без риска обнаружения.
Схожим образом злоумышленники могут вмешаться в сетевой трафик, переключив его с зашифрованного соединения HTTPS на незащищенный протокол HTTP, где данные передаются в виде открытого текста.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
pt_application_firewall: PT-CR-636: PTAF_Old_Or_Unknown_HTTP_Version: Попытка подключения по устаревшему протоколу mitre_attck_execution: PT-CR-945: Subrule_PowerShell_CLM_Bypass_4104: На основе событий журнала блоков сценариев PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_execution: PT-CR-944: Subrule_PowerShell_CLM_Bypass_4103: На основе событий журнала модуля PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-942: Subrule_CSC_Start_And_File_Create: Запуск процесса csc.exe, родителем которого является процесс powershell.exe, и создание процессом библиотеки mitre_attck_defense_evasion: PT-CR-930: AMSI_Bypass_Via_Powershell: Использование методов обхода AMSI mitre_attck_defense_evasion: PT-CR-938: PowerShell_CLM_Bypass: Попытка обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-2558: NTLM_Downgrade: Изменены разделы реестра, отвечающие за версию протокола аутентификации NTLM. Это может быть признаком атаки NTLM Downgrade, в ходе которой злоумышленник понижает версию протокола, чтобы ослабить защиту передаваемых данных vk_cloud: PT-CR-2296: VK_Cloud_Image_From_Marketplace_Creation: Пользователь создал или использовал образ из каталога "Маркетплейс" для создания виртуальной машины, что может свидетельствовать о попытке злоумышленника использовать версию образа, содержащую уязвимости active_directory_attacks: PT-CR-1203: Abuse_Kerberos_RC4: Возможная эксплуатация уязвимости CVE-2022-33679 в Kerberos. Эта уязвимость позволяет злоумышленникам провести сеанс от имени прошедшего аутентификацию пользователя и выполнить произвольный код на скомпрометированном узле. Таким способом злоумышленники могут получить учетные данные пользователей и горизонтально переместиться на другие узлы инфраструктуры hacking_tools: PT-CR-757: Internal_Monologue_Attack: Обнаружена атака NetNTLM Downgrade с помощью утилиты Internal Monologue
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Метаданные процесса | Описание | Отслеживайте контекстные данные запущенных процессов, такие как переменные окружения, имя образа, пользователь и владелец, а также другие сведения, указывающие на использование устаревшей и уязвимой версии системных компонентов, которые не поддерживают обновленные меры безопасности, такие как ведение журнала. Например, проверка в событии Windows с идентификатором 400 поля |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд или другие действия, которые могут указывать на попытки злоумышленников воспользоваться устаревшими или нерекомендуемыми технологиями (например, |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут откатить версию системных компонентов или использовать устаревшую и уязвимую версию, которая не поддерживает обновленные меры безопасности, например ведение журнала. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности удалите предыдущие версии ненужных инструментов. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | По возможности внедрите на внутренних веб-серверах политики, такие как HTTP Strict Transport Security, которые обеспечивают использование HTTPS и (или) шифрования сетевого трафика для предотвращения небезопасных соединений. |
---|