T1565.003: Манипуляции с обрабатываемыми данными
Злоумышленники могут модифицировать целевые системы, чтобы манипулировать данными при доступе и отображении их конечному пользователю, нарушая их целостность. Злоумышленники могут манипулировать обрабатываемыми данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.
Злоумышленники могут изменять исполняемые файлы приложений, используемые для отображения данных, чтобы манипулировать информацией в процессе обработки. Также злоумышленники могут использовать техники Подмена файловых ассоциаций по умолчанию и Маскировка для достижения аналогичного эффекта. Тип модификации и ее влияние зависят от целевого приложения и процесса, а также целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vsphere_suspicious_user_activity: PT-CR-519: Mass_reconfiguring_protective_VM: Изменены параметры нескольких виртуальных машин с установленным защитным ПО
vsphere_suspicious_user_activity: PT-CR-520: Reconfiguring_protective_VM: Изменены параметры виртуальной машины с установленным защитным ПО
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Monitor for unexpected deletion of a file in order to manipulate external outcomes or hide activity |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Monitor for API calls associated with altering data. Remote access tools with built-in features may interact directly with the Windows API to gather information. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for unexpected files with manipulated data in order to manipulate external outcomes or hide activity |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files in order to manipulate external outcomes or hide activity |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Monitor for contextual data about a file, which may include information such as name, the content (ex: signature, headers, or data/media), user/owner, permissions, etc that would aid in the manipulation of data to hide activity |
---|
Меры противодействия
ID | M1030 | Название | Сегментация сети | Описание | Identify critical business and system processes that may be targeted by adversaries and work to isolate and secure those systems against unauthorized access and tampering. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Prevent critical business and system processes from being replaced, overwritten, or reconfigured to load potentially malicious code. |
---|