T1564.003: Скрытое окно
Злоумышленники могут использовать скрытые окна, чтобы не показывать свои вредоносные действия пользователям. Иногда окна, которые обычно появляются при выполнении операции приложением, можно скрыть. Этим приемом могут пользоваться системные администраторы, чтобы не мешать работе пользователей при выполнении административных задач.
Злоумышленники могут злоупотреблять этими функциями и скрывать видимые окна, чтобы пользователь не замечал вредоносной активности.
В macOS конфигурации запуска приложений перечисляются в файлах списков свойств (PLIST). Один из возможных тегов в этих файлах — apple.awt.UIElement. Он позволяет Java-приложениям запретить появление значка приложения в панели Dock. Обычно он указывается, когда приложения должны запускаться в строке меню, но при этом не отображаться в Dock.
Точно так же в языках сценариев для Windows, таких как PowerShell, JScript и Visual Basic, есть множество функций, предназначенных для скрытия окон. Один из примеров — powershell.exe -WindowStyle Hidden.
Кроме того, Windows поддерживает API-функцию CreateDesktop(), позволяющую создать скрытое окно рабочего стола с собственным процессом explorer.exe. Все приложения, работающие в скрытом окне рабочего стола — например, скрытой сессии VNC (hVNC), будут невидимы для других окон рабочего стола.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процессов веб-браузеров с аргументами --headless и --disable-gpu в командной строке
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать скрытые окна, чтобы скрыть вредоносную деятельность с глаз пользователей. В macOS файлы PLIST представляют из себя текстовые файлы особого формата в кодировке ASCII, благодаря чему они легко поддаются синтаксическому анализу. Тег |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использовать скрытые окна, чтобы прятать вредоносную активность от пользователей. В Windows включите и настройте ведение журнала событий и журнала PowerShell так, чтобы они регистрировали стили скрытых окон. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут использовать скрытые окна, чтобы прятать вредоносную активность от пользователей. В частности, отслеживайте подозрительные запуски проводника Windows (дополнительные процессы |
|---|
| ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
|---|
Меры противодействия
| ID | M1038 | Название | Защита от выполнения | Описание | Ограничьте выполнение программ с помощью антивирусного программного обеспечения. В MacOS составьте список программ, которым разрешено иметь соответствующий тег в файлах PLIST. Все остальные программы следует считать подозрительными. |
|---|
| ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Разрешите установку программного обеспечения, которое может быть использовано для создания скрытых рабочих столов, например hVNC, только группам пользователей, которым это необходимо. |
|---|