MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1562.010: Атака "на понижение"

Злоумышленники могут понизить версию системных компонентов или использовать устаревшую и уязвимую версию, которая не поддерживает обновленные меры безопасности. Атаки "на понижение" обычно полагаются на функции обратной совместимости системы, чтобы перевести ее в менее безопасные режимы работы.

Злоумышленники могут понизить версию системных функций, например интерпретаторов командной строки и сценариев, до менее безопасной (в случае сетевых протоколов понижение версии может открыть возможность для атаки типа "злоумышленник посередине" или прослушивания сетевого трафика). Например, PowerShell версии 5 и выше включает функцию ведения журнала блоков сценариев (SBL), которая запоминает выполняемые команды. Однако злоумышленники могут попытаться запустить предыдущую версию PowerShell без поддержки SBL, чтобы добиться ослабления защиты и выполнять вредоносные сценарии без риска обнаружения.

Схожим образом злоумышленники могут вмешаться в сетевой трафик, переключив его с зашифрованного соединения HTTPS на незащищенный протокол HTTP, где данные передаются в виде открытого текста.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_application_firewall: PT-CR-636: PTAF_Old_Or_Unknown_HTTP_Version: Попытка подключения по устаревшему протоколу mitre_attck_execution: PT-CR-945: Subrule_PowerShell_CLM_Bypass_4104: На основе событий журнала блоков сценариев PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_execution: PT-CR-944: Subrule_PowerShell_CLM_Bypass_4103: На основе событий журнала модуля PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-942: Subrule_CSC_Start_And_File_Create: Запуск процесса csc.exe, родителем которого является процесс powershell.exe, и создание процессом библиотеки mitre_attck_defense_evasion: PT-CR-930: AMSI_Bypass_Via_Powershell: Использование методов обхода AMSI mitre_attck_defense_evasion: PT-CR-938: PowerShell_CLM_Bypass: Попытка обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-2558: NTLM_Downgrade: Изменены разделы реестра, отвечающие за версию протокола аутентификации NTLM. Это может быть признаком атаки NTLM Downgrade, в ходе которой злоумышленник понижает версию протокола, чтобы ослабить защиту передаваемых данных vk_cloud: PT-CR-2296: VK_Cloud_Image_From_Marketplace_Creation: Пользователь создал или использовал образ из каталога "Маркетплейс" для создания виртуальной машины, что может свидетельствовать о попытке злоумышленника использовать версию образа, содержащую уязвимости active_directory_attacks: PT-CR-1203: Abuse_Kerberos_RC4: Возможная эксплуатация уязвимости CVE-2022-33679 в Kerberos. Эта уязвимость позволяет злоумышленникам провести сеанс от имени прошедшего аутентификацию пользователя и выполнить произвольный код на скомпрометированном узле. Таким способом злоумышленники могут получить учетные данные пользователей и горизонтально переместиться на другие узлы инфраструктуры hacking_tools: PT-CR-757: Internal_Monologue_Attack: Обнаружена атака NetNTLM Downgrade с помощью утилиты Internal Monologue

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Метаданные процессаОписание

Отслеживайте контекстные данные запущенных процессов, такие как переменные окружения, имя образа, пользователь и владелец, а также другие сведения, указывающие на использование устаревшей и уязвимой версии системных компонентов, которые не поддерживают обновленные меры безопасности, такие как ведение журнала. Например, проверка в событии Windows с идентификатором 400 поля EngineVersion, в котором указана версия запущенного PowerShell, позволяет обнаружить атаку "на понижение".

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд или другие действия, которые могут указывать на попытки злоумышленников воспользоваться устаревшими или нерекомендуемыми технологиями (например, powershell –v 2).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут откатить версию системных компонентов или использовать устаревшую и уязвимую версию, которая не поддерживает обновленные меры безопасности, например ведение журнала.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности удалите предыдущие версии ненужных инструментов.

IDM1054НазваниеИзменение конфигурации ПООписание

По возможности внедрите на внутренних веб-серверах политики, такие как HTTP Strict Transport Security, которые обеспечивают использование HTTPS и (или) шифрования сетевого трафика для предотвращения небезопасных соединений.