T1570: Передача инструментов внутри периметра
Злоумышленники могут перемещать инструменты или файлы между системами в скомпрометированной среде. После попадания в среду жертвы (см. технику Передача инструментов из внешней сети) злоумышленники могут копировать файлы между системами для размещения вредоносных инструментов или других файлов по ходу операции.
Злоумышленники могут копировать файлы между внутренними системами жертвы в целях перемещения внутри периметра, используя встроенные протоколы обмена файлами, — например, через подключенные общие SMB- и административные ресурсы Windows, а также аутентифицированные подключения по протоколу удаленного рабочего стола.
Файлы также можно передавать с помощью встроенных или имеющихся в системе жертвы инструментов, таких как scp, rsync, curl, sftp и ftp. В некоторых случаях злоумышленники могут использовать веб-службы, такие как Dropbox или OneDrive, для копирования файлов между компьютерами через общие автоматически синхронизируемые папки.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil"
mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger)
hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager
hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity
mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла
mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника
mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass
mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла
mitre_attck_command_and_control: PT-CR-1913: File_Copy_via_RemoteAccess_Tool: Создание подозрительного файла с помощью утилиты для удаленного доступа
microsoft_mecm: PT-CR-1876: MECM_Distribute_content: Передача пакета или приложения на точку распространения в MECM
mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы
mitre_attck_lateral_movement: PT-CR-224: Remote_Copying_Malicious_File: Обнаружена попытка скопировать потенциально вредоносный файл следующих расширений: hta, ps1, py, vbe, cs, csproj, proj, com, cmd, bat, vbs, js, xsl, sct
mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла
mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов
mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender
mitre_attck_command_and_control: PT-CR-845: Download_via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell
mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов
mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item
hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe
hacking_tools: PT-CR-90: Windows_Hacktool_Copied_To_Share: Копирование вредоносной утилиты в разделяемый сетевой ресурс корневого каталога. Это может свидетельствовать о горизонтальном перемещении злоумышленника на узел, на котором предоставляется доступ к разделяемому сетевому ресурсу
hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Обнаружен запуск загрузчика Cobalt Strike
unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_by_Daemons: Запуск утилиты для передачи файлов от имени служебной учетной записи
hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin"
hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application
hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32"
hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32"
hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI
hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Обнаружены множественные попытки проверки доставки полезной нагрузки с помощью Cobalt Strike
hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Обнаружено скачивание полезной нагрузки с помощью зашифрованной команды PowerShell
mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя
unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах
kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку
kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение
kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center
Способы обнаружения
ID | DS0023 | Источник и компонент данных | Именованный канал: Метаданные именованного канала | Описание | Отслеживайте контекстные данные именованных каналов в системе. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд на предмет аномального использования утилит и аргументов командной строки, чтобы выявить передачу файлов в удаленные системы. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, которые злоумышленники могут использовать для передачи инструментов внутри периметра. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы, которые злоумышленники могут использовать для передачи инструментов внутри периметра. |
---|
ID | DS0033 | Источник и компонент данных | Сетевая папка: Доступ к сетевой папке | Описание | Отслеживайте неожиданный доступ к сетевым папкам, например передачу файлов между сетевыми ресурсами по таким протоколам, как SMB. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте необычные процессы, инициирующие подключения к внутренней сети и создающие файлы в системе, выглядящие подозрительно. Примечание. Тип события рассчитан на Zeek, но его можно реализовать и в других фреймворках посредством анализа и декодирования сохраненного трафика SMB2. Важно захватить именно тот сетевой трафик, который требуется для работы данного типа обнаружения (например, между конечными устройствами, или от рабочей станции до сервера, или между рабочими станциями). С учетом этого может быть полезно иметь централизованную часть сервера, в которой можно было бы отслеживать соединения между серверами и конечными устройствами. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте файлы со схожими хешами и параметрами (например, именами), создаваемые на разных узлах. |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | По возможности используйте межсетевой экран хоста для ограничения обмена файлами, в частности через SMB . |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, или необычной передачи данных с помощью известных инструментов и протоколов, например FTP, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ . |
---|