MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1564: Сокрытие артефактов

Злоумышленники могут попытаться скрыть артефакты, связанные с их действиями, для предотвращения обнаружения. Операционные системы поддерживают скрытие различных артефактов, например важных системных файлов и признаков выполнения административных задач, чтобы не мешать работе пользователей и не давать им изменять важные данные или функции системы. Злоумышленники могут злоупотреблять этими возможностями и скрывать свои артефакты, такие как файлы, каталоги и учетные записи пользователей, а также другую системную активность, чтобы избежать обнаружения.

Злоумышленники также могут пытаться скрыть артефакты своей вредоносной активности путем создания изолированных областей вычислений, таких как виртуальные машины, чтобы избежать обнаружения средствами безопасности.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-777: Hidden_Scheduled_Task: Обнаружено создание скрытой запланированной задачи или скрытное изменение уже существующей запланированной задачи без записи в журнал событий Windows. Создание задачи или ее изменение может выполняться непосредственно напрямую в реестре, без использования Планировщика заданий Windows
mysql_database: PT-CR-619: MySQL_audit_table_modify: Обнаружена попытка изменить таблицу аудита
mysql_database: PT-CR-621: MySQL_audit_table_rename: Обнаружена попытка переименовать таблицу аудита

Способы обнаружения

IDDS0002Источник и компонент данныхУчетная запись пользователя: Метаданные учетной записиОписание

Отслеживайте контекстные данные учетных записей (имя и идентификатор пользователя, данные о среде и т. п.), с помощью которых злоумышленники могут маскировать создаваемые или изменяемые ими учетные записи пользователей. В macOS отслеживайте пользователей, у которых значение идентификатора пользователя меньше 500 и значение ключа Hide500Users в plist-файле /Library/Preferences/com.apple.loginwindow равно TRUE.

IDDS0001Источник и компонент данныхПрошивка: Изменение прошивкиОписание

Отслеживайте изменения в прошивке на предмет появления неожиданных модификаций настроек и (или) данных, которые могут использовать скрытую файловую систему, чтобы замаскировать вредоносную активность от пользователей и средств безопасности. Буткит

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование правил электронной почты для скрытия входящих писем в почтовом ящике скомпрометированного пользователя. Отслеживайте подозрительную активность почтовых клиентов и приложений, например исчезновение сообщений, аномальные конфигурации и (или) записи журналов. В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте различия между исходным кодом VBA и p-кодом. Код VBA можно извлечь из p-кода до его выполнения с помощью дизассемблера pcodedmp и аналогичных инструментов. Дизассемблер pcodedmp используется в составе инструментария oletools для обнаружения техники сокрытия в скомпилированном VBA-коде путем сопоставления ключевых слов из исходного кода VBA с p-кодом.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте недавно созданные процессы на предмет таких артефактов, как -ErrorAction SilentlyContinue в PowerShell или nohup, которые могут использоваться для скрытия процессов от сигналов прерывания.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы функций Windows API ZwSetEaFile и ZwQueryEaFile, а также запуск бинарных файлов, используемых для взаимодействия с расширенными атрибутами (EA) , и по возможности регулярно проверяйте наличие модифицированных данных .

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра Windows и (или) значениях, с помощью которых злоумышленники могут выполнять операции в пределах виртуального экземпляра, чтобы избежать обнаружения. Например, через реестр можно попытаться обнаружить ПО для виртуализации, установленное злоумышленником.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

В системах Windows и Exchange отслеживайте изменение или создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как New-InboxRule, Set-InboxRule, New-TransportRule и Set-TransportRule.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Создание учетной записиОписание

Отслеживайте в macOS недавно созданные учетные записи пользователей, особенно те, у которых идентификатор пользователя меньше 500. Они могут маскировать присутствие учетных записей пользователей, которые создаются или изменяются с их помощью.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

В системах macOS отслеживайте модификации файлов RulesActiveState.plist, SyncedRules.plist, UnsyncedRules.plist и MessageRules.plist.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте недавно созданные службы/демоны, которые могут выполнять вредоносные операции в пределах виртуального экземпляра, чтобы избежать обнаружения. По возможности отслеживайте новые службы Windows, учитывая при этом программное обеспечение для виртуализации.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Если документ будет открыт через графический интерфейс (GUI), вредоносный p-код будет декомпилирован и отображен. Но если в поток PROJECT, в котором указаны свойства проекта, были внесены определенные изменения, декомпилированный код VBA не будет отображаться. Например, добавление имени модуля, не заданного в потоке PROJECT, затруднит попытки чтения исходного кода VBA с помощью графического интерфейса пользователя.

Меры противодействия

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Ограничьте установку программного обеспечения, которое может быть использовано для создания скрытых рабочих столов, например hVNC, группами пользователей, которым это необходимо.

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Настраивайте приложения на использование структуры пакетов приложений, в которой используется папка /Resources.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Просматривайте и проверяйте списки файлов- и папок-исключений и по возможности ограничивайте объем исключений только тем, что необходимо.