MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1565.003: Манипуляции с обрабатываемыми данными

Злоумышленники могут модифицировать целевые системы, чтобы манипулировать данными при доступе и отображении их конечному пользователю, нарушая их целостность. Злоумышленники могут манипулировать обрабатываемыми данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.

Злоумышленники могут изменять исполняемые файлы приложений, используемые для отображения данных, чтобы манипулировать информацией в процессе обработки. Также злоумышленники могут использовать техники Подмена файловых ассоциаций по умолчанию и Маскировка для достижения аналогичного эффекта. Тип модификации и ее влияние зависят от целевого приложения и процесса, а также целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vsphere_suspicious_user_activity: PT-CR-519: Mass_reconfiguring_protective_VM: Изменены параметры нескольких виртуальных машин с установленным защитным ПО
vsphere_suspicious_user_activity: PT-CR-520: Reconfiguring_protective_VM: Изменены параметры виртуальной машины с установленным защитным ПО

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Monitor for unexpected deletion of a file in order to manipulate external outcomes or hide activity

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Monitor for API calls associated with altering data. Remote access tools with built-in features may interact directly with the Windows API to gather information.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for unexpected files with manipulated data in order to manipulate external outcomes or hide activity

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files in order to manipulate external outcomes or hide activity

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Monitor for contextual data about a file, which may include information such as name, the content (ex: signature, headers, or data/media), user/owner, permissions, etc that would aid in the manipulation of data to hide activity

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Identify critical business and system processes that may be targeted by adversaries and work to isolate and secure those systems against unauthorized access and tampering.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Prevent critical business and system processes from being replaced, overwritten, or reconfigured to load potentially malicious code.