Техника на mitre.org

T1564.004: Атрибуты файлов NTFS

Злоумышленники могут изменить атрибуты файлов NTFS, чтобы скрыть вредоносные данные и избежать обнаружения. Каждый раздел, отформатированный в файловой системе NTFS, содержит основную таблицу файлов (MFT) с записями о каждом находящемся в нем файле и каталоге . В записях MFT хранятся атрибуты файлов, в том числе расширенные атрибуты (EA) и альтернативные потоки данных (ADS), которые применяются при наличии более одного атрибута данных и позволяют хранить произвольную информацию (и даже файлы целиком) .

Злоумышленники могут хранить вредоносные данные или исполняемые файлы в метаданных атрибутов, а не в самих файлах. Таким образом можно обойти некоторые средства защиты, например сканеры статических индикаторов и антивирусное ПО .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-601: Alternate_Data_Stream: Выполнена команда, которая использует альтернативные потоки данных mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil"

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Существует множество способов создания альтернативных потоков данных (ADS) и взаимодействия с ними посредством утилит Windows. Отслеживайте операции (такие как выполнение или копирование), проводимые с файлами, имена которых включают двоеточие. Подобный синтаксис (например, `file.ext:ads[.ext]`) нередко связан с ADS . С подробным списком утилит, с помощью которых можно выполнять и создавать ADS, можно ознакомиться здесь: https://gist.github.com/api0cradle/cdd2d0d0ec9abb686f0e89306e277b8f.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Отслеживайте контекстные данные файла, которые могут включать его имя, содержимое (подпись, заголовки, данные или встроенные объекты), имя пользователя/владельца, разрешения и другую информацию. Злоумышленники могут скрывать вредоносные данные, используя атрибуты NTFS, чтобы избежать обнаружения. Существуют определенные криминалистические техники, с помощью которых можно проанализировать информацию, хранящуюся в расширенных атрибутах (EA) NTFS .

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Для поиска файлов с альтернативными потоками данных можно воспользоваться инструментом Streams, доступным в Sysinternals, а также командой `dir /r` . Многие команды PowerShell (такие как Get-Item, Set-Item, Remove-Item и Get-ChildItem) могут принимать параметр `-stream` для взаимодействия с альтернативными потоками данных .

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск процессов, которые могут изменять атрибуты файлов NTFS, чтобы скрыть вредоносные данные и избежать обнаружения. Аналитика 1. Использование альтернативных потоков данных NTFS: системные утилиты (PowerShell) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\powershell.exe" \| regex CommandLine= "Invoke-CimMethod\s+-ClassName\s+Win32_Process\s+-MethodName\s+Create.\b(\w+(.\w+)?):(\w+(.\w+)?)\|-ep bypass\s+-\s+<.\b(\w+(.\w+)?):(\w+(.\w+)?)\|-command.Get-Content.-Stream.Set-Content.start-process .(\w+(.\w+)?)"` Аналитика 2. Использование альтернативных потоков данных NTFS: системные утилиты (WMIC) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\wmic.exe" \| regex CommandLine= "process call create."(\w+(.\w+)?):(\w+(.\w+)?)"` Аналитика 3. Использование альтернативных потоков данных NTFS: системные утилиты (rundll32) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\rundll32.exe" \| regex CommandLine= ""?(\w+(.\w+)?):(\w+(.\w+)?)?"?,\w+\|(advpack.dll\|ieadvpack.dll),RegisterOCX\s+(\w+.\w+):(\w+(.\w+)?)\|(shdocvw.dll\|ieframe.dll),OpenURL.(\w+.\w+):(\w+(.\w+)?)"` Аналитика 4. Использование альтернативных потоков данных NTFS: системные утилиты (wscript/cscript) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\wscript.exe" OR Image= "C:\Windows\\cscript.exe)" \| regex CommandLine= "(?`

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы функций Windows API `ZwSetEaFile` и `ZwQueryEaFile`, а также запуск бинарных файлов, используемых для взаимодействия с расширенными атрибутами (EA), и по возможности регулярно проверяйте наличие модифицированных данных .

ID	Источник и компонент данных	Описание
DS0022	Файл: Изменение файла	Существует множество способов создания альтернативных потоков данных (ADS) и взаимодействия с ними посредством утилит Windows. Отслеживайте операции (такие как выполнение или копирование), проводимые с файлами, имена которых включают двоеточие. Подобный синтаксис (например, `file.ext:ads[.ext]`) нередко связан с ADS . С подробным списком утилит, с помощью которых можно выполнять и создавать ADS, можно ознакомиться здесь: https://gist.github.com/api0cradle/cdd2d0d0ec9abb686f0e89306e277b8f.
DS0022	Файл: Метаданные файла	Отслеживайте контекстные данные файла, которые могут включать его имя, содержимое (подпись, заголовки, данные или встроенные объекты), имя пользователя/владельца, разрешения и другую информацию. Злоумышленники могут скрывать вредоносные данные, используя атрибуты NTFS, чтобы избежать обнаружения. Существуют определенные криминалистические техники, с помощью которых можно проанализировать информацию, хранящуюся в расширенных атрибутах (EA) NTFS .
DS0017	Команда: Выполнение команд	Для поиска файлов с альтернативными потоками данных можно воспользоваться инструментом Streams, доступным в Sysinternals, а также командой `dir /r` . Многие команды PowerShell (такие как Get-Item, Set-Item, Remove-Item и Get-ChildItem) могут принимать параметр `-stream` для взаимодействия с альтернативными потоками данных .
DS0009	Процесс: Создание процесса	Отслеживайте запуск процессов, которые могут изменять атрибуты файлов NTFS, чтобы скрыть вредоносные данные и избежать обнаружения. Аналитика 1. Использование альтернативных потоков данных NTFS: системные утилиты (PowerShell) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\powershell.exe" \| regex CommandLine= "Invoke-CimMethod\s+-ClassName\s+Win32_Process\s+-MethodName\s+Create.\b(\w+(.\w+)?):(\w+(.\w+)?)\|-ep bypass\s+-\s+<.\b(\w+(.\w+)?):(\w+(.\w+)?)\|-command.Get-Content.-Stream.Set-Content.start-process .(\w+(.\w+)?)"` Аналитика 2. Использование альтернативных потоков данных NTFS: системные утилиты (WMIC) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\wmic.exe" \| regex CommandLine= "process call create."(\w+(.\w+)?):(\w+(.\w+)?)"` Аналитика 3. Использование альтернативных потоков данных NTFS: системные утилиты (rundll32) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\rundll32.exe" \| regex CommandLine= ""?(\w+(.\w+)?):(\w+(.\w+)?)?"?,\w+\|(advpack.dll\|ieadvpack.dll),RegisterOCX\s+(\w+.\w+):(\w+(.\w+)?)\|(shdocvw.dll\|ieframe.dll),OpenURL.(\w+.\w+):(\w+(.\w+)?)"` Аналитика 4. Использование альтернативных потоков данных NTFS: системные утилиты (wscript/cscript) `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\\wscript.exe" OR Image= "C:\Windows\\cscript.exe)" \| regex CommandLine= "(?`
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы функций Windows API `ZwSetEaFile` и `ZwQueryEaFile`, а также запуск бинарных файлов, используемых для взаимодействия с расширенными атрибутами (EA), и по возможности регулярно проверяйте наличие модифицированных данных .

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	По возможности настройте разрешения на чтение и запись для NTFS EA, при этом необходимо убедиться, что не будут затруднены рутинные операции ОС .

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	По возможности настройте разрешения на чтение и запись для NTFS EA, при этом необходимо убедиться, что не будут затруднены рутинные операции ОС .