MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1570: Передача инструментов внутри периметра

Злоумышленники могут перемещать инструменты или файлы между системами в скомпрометированной среде. После попадания в среду жертвы (см. технику Передача инструментов из внешней сети) злоумышленники могут копировать файлы между системами для размещения вредоносных инструментов или других файлов по ходу операции.

Злоумышленники могут копировать файлы между внутренними системами жертвы в целях перемещения внутри периметра, используя встроенные протоколы обмена файлами, — например, через подключенные общие SMB- и административные ресурсы Windows, а также аутентифицированные подключения по протоколу удаленного рабочего стола.

Файлы также можно передавать с помощью встроенных или имеющихся в системе жертвы инструментов, таких как scp, rsync, curl, sftp и ftp. В некоторых случаях злоумышленники могут использовать веб-службы, такие как Dropbox или OneDrive, для копирования файлов между компьютерами через общие автоматически синхронизируемые папки.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil"
mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger)
hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager
hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity
mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла
mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника
mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass
mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла
mitre_attck_command_and_control: PT-CR-1913: File_Copy_via_RemoteAccess_Tool: Создание подозрительного файла с помощью утилиты для удаленного доступа
microsoft_mecm: PT-CR-1876: MECM_Distribute_content: Передача пакета или приложения на точку распространения в MECM
mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы
mitre_attck_lateral_movement: PT-CR-224: Remote_Copying_Malicious_File: Обнаружена попытка скопировать потенциально вредоносный файл следующих расширений: hta, ps1, py, vbe, cs, csproj, proj, com, cmd, bat, vbs, js, xsl, sct
mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла
mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов
mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender
mitre_attck_command_and_control: PT-CR-845: Download_via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell
mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов
mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item
hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe
hacking_tools: PT-CR-90: Windows_Hacktool_Copied_To_Share: Копирование вредоносной утилиты в разделяемый сетевой ресурс корневого каталога. Это может свидетельствовать о горизонтальном перемещении злоумышленника на узел, на котором предоставляется доступ к разделяемому сетевому ресурсу
hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Обнаружен запуск загрузчика Cobalt Strike
unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_by_Daemons: Запуск утилиты для передачи файлов от имени служебной учетной записи
hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin"
hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application
hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32"
hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32"
hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI
hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Обнаружены множественные попытки проверки доставки полезной нагрузки с помощью Cobalt Strike
hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Обнаружено скачивание полезной нагрузки с помощью зашифрованной команды PowerShell
mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя
unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах
kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку
kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение
kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center

Способы обнаружения

IDDS0023Источник и компонент данныхИменованный канал: Метаданные именованного каналаОписание

Отслеживайте контекстные данные именованных каналов в системе.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд на предмет аномального использования утилит и аргументов командной строки, чтобы выявить передачу файлов в удаленные системы.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, которые злоумышленники могут использовать для передачи инструментов внутри периметра.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте недавно созданные процессы, которые злоумышленники могут использовать для передачи инструментов внутри периметра.

IDDS0033Источник и компонент данныхСетевая папка: Доступ к сетевой папкеОписание

Отслеживайте неожиданный доступ к сетевым папкам, например передачу файлов между сетевыми ресурсами по таким протоколам, как SMB.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте необычные процессы, инициирующие подключения к внутренней сети и создающие файлы в системе, выглядящие подозрительно.

Примечание. Тип события рассчитан на Zeek, но его можно реализовать и в других фреймворках посредством анализа и декодирования сохраненного трафика SMB2. Важно захватить именно тот сетевой трафик, который требуется для работы данного типа обнаружения (например, между конечными устройствами, или от рабочей станции до сервера, или между рабочими станциями). С учетом этого может быть полезно иметь централизованную часть сервера, в которой можно было бы отслеживать соединения между серверами и конечными устройствами.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте файлы со схожими хешами и параметрами (например, именами), создаваемые на разных узлах.

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

По возможности используйте межсетевой экран хоста для ограничения обмена файлами, в частности через SMB .

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, или необычной передачи данных с помощью известных инструментов и протоколов, например FTP, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ .