T1565.003: Манипуляции с обрабатываемыми данными
Злоумышленники могут модифицировать целевые системы, чтобы манипулировать данными при доступе и отображении их конечному пользователю, нарушая их целостность. Злоумышленники могут манипулировать обрабатываемыми данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.
Злоумышленники могут изменять исполняемые файлы приложений, используемые для отображения данных, чтобы манипулировать информацией в процессе обработки. Также злоумышленники могут использовать техники Подмена файловых ассоциаций по умолчанию и Маскировка для достижения аналогичного эффекта. Тип модификации и ее влияние зависят от целевого приложения и процесса, а также целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vsphere_suspicious_user_activity: PT-CR-520: Reconfiguring_Protective_VM: Изменены параметры виртуальной машины с установленным защитным ПО vsphere_suspicious_user_activity: PT-CR-519: Mass_Reconfiguring_Protective_VM: Изменены параметры нескольких виртуальных машин с установленным защитным ПО
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте нетипичные манипуляции над данными в файлах, целью которых могут являться изменение связанных с данными результатов или скрытие определенной активности. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичное удаление файлов, целью которого могут являться изменение связанных с данными результатов или скрытие определенной активности. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, которые могут использоваться для модификации данных. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте контекстные данные файла, включая его имя, содержимое (подпись, заголовки, данные или встроенные объекты), имя пользователя/владельца, разрешения и другую информацию, с помощью которых злоумышленники могут манипулировать данными, чтобы скрыть свою деятельность. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, целью которого могут являться изменение связанных с данными результатов или скрытие определенной активности. |
|---|
Меры противодействия
| ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Предотвратите замену, перезапись и изменение конфигурации критически важных бизнес-процессов и систем для загрузки потенциально вредоносного кода. |
|---|
| ID | M1030 | Название | Сегментация сети | Описание | Выявляйте критически важные бизнес-процессы и системы, которые могут стать мишенью для злоумышленников. Изолируйте и защищайте эти системы от несанкционированного доступа и несанкционированного вмешательства. |
|---|