Техника на mitre.org

T1562.011: Подмена предупреждений системы безопасности

Злоумышленники могут подменять уведомления средств защиты, предоставляя ложные данные о состоянии системы и таким образом скрывая свою вредоносную деятельность от специалистов по безопасности. Сообщения, генерируемые средствами безопасности, содержат информацию о потенциальных угрозах, а также о состоянии защитного программного обеспечения и системы. Предупреждения средств безопасности важны для мониторинга работы системы и выявления важных событий, которые могут указывать на инциденты безопасности.

Вместо блокировки сбора признаков активности или в дополнение к ней злоумышленник может подделывать подтверждения того, что легитимные средства безопасности продолжают работать, даже после их отключения (см. технику Отключение или перенастройка средств защиты). Злоумышленник также может создавать видимость нормального состояния системы даже после заражения. Это может замедлить реагирование на вторжение и предоставить злоумышленникам больше времени для дальнейшей вредоносной активности.

Злоумышленники могут вывести поддельный графический интерфейс безопасности Windows и значок на панели задач, показывающий нормальное состояние системы, после отключения Защитника Windows и других системных средств.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

oracle_database: PT-CR-281: Oracle_Audit_Entry_Update: Изменение записей в таблице аудита oracle_database: PT-CR-280: Oracle_Audit_Entry_Insert: Вставка записей в таблицу аудита

Способы обнаружения

ID	DS0013	Источник и компонент данных	Данные о работоспособности: Состояние узла	Описание	Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), сопоставляя и сравнивая централизованную телеметрию с подозрительными уведомлениями на отдельных системах.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	По возможности отслеживайте подозрительные процессы, которые могут подменять сообщения систем безопасности и мониторинга.

ID	Источник и компонент данных	Описание
DS0013	Данные о работоспособности: Состояние узла	Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов), сопоставляя и сравнивая централизованную телеметрию с подозрительными уведомлениями на отдельных системах.
DS0009	Процесс: Создание процесса	По возможности отслеживайте подозрительные процессы, которые могут подменять сообщения систем безопасности и мониторинга.

Меры противодействия

ID	M1038	Название	Защита от выполнения	Описание	Используйте средства управления приложениями для защиты от установки и использования полезных нагрузок, которые могут быть использованы для подмены предупреждений системы безопасности.

ID	Название	Описание
M1038	Защита от выполнения	Используйте средства управления приложениями для защиты от установки и использования полезных нагрузок, которые могут быть использованы для подмены предупреждений системы безопасности.