Техника на mitre.org

T1574.007: Изменение переменной окружения PATH

Злоумышленники могут запускать свою полезную нагрузку путем перехвата переменных окружения, используемых для загрузки библиотек. Переменная окружения PATH содержит список каталогов (пользовательских и системных), в которых операционная система последовательно ищет исполняемые файлы, вызываемые из сценария или командной строки.

Злоумышленники могут поместить вредоносную программу в каталог, который стоит раньше в списке, указанном в переменной окружения PATH, чем каталог легитимной программы. В результате ОС выполнит вредоносный исполняемый файл вместо легитимного, так как он будет найден первым в ходе последовательной обработки списка PATH.

Например, если в Windows злоумышленник внедрит вредоносную программу с именем net.exe в каталог C:\example_path, который предшествует C:\Windows\system32\net.exe в переменной окружения PATH, тогда при вызове net из командной строки будет вызываться исполняемый файл из каталога C:\example_path вместо легитимного C:\Windows\system32\net.exe. Некоторые методы выполнения программ полагаются на поиск местоположения через переменную окружения PATH, если путь к программе не указан. Например, это касается выполнения программ из интерпретаторов командной строки и сценариев.

Злоумышленники также могут напрямую изменить переменную $PATH, чтобы указать каталоги, в которых будет осуществляться поиск. Например, они могут указать в этой переменной каталог, для которого у них есть права записи. Когда вызывается программа, использующая переменную $PATH, операционная система выполняет поиск в указанном каталоге и запускает вредоносный файл. В macOS аналогичного эффекта можно достичь путем изменения переменной $HOME. Значения этих переменных можно модифицировать через командную строку или утилиту launchctl, а также путем изменения конфигурации командной оболочки Unix или содержимого каталога /etc/paths.d.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий изменения раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, пути к которым являются усеченными путями к каталогам, проверяемым системой при запуске стандартных процессов по значению переменной окружения, либо другим каталогам, которые должны быть недоступны для записи пользователям. Кроме того, отслеживайте создание файлов для программ, имена которых совпадают с именами системных программ Windows или программ, обычно выполняемых без указания пути (например, `findstr`, `net` и `python`). Если данные действия не связаны с известными операциями администраторов, обновлениями, установкой ПО и исправлений, их можно считать подозрительными.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте модификации переменной окружения PATH для таких ключей реестра, как `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path`. Злоумышленник может добавить новый каталог или перечень каталогов для скрытия путей выполнения программ.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, пути к исполняемым файлам которых являются усеченными путями к другим каталогам.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте создание файлов, пути к которым являются усеченными путями к каталогам, проверяемым системой при запуске стандартных процессов по значению переменной окружения, либо другим каталогам, которые должны быть недоступны для записи пользователям. Кроме того, отслеживайте создание файлов для программ, имена которых совпадают с именами системных программ Windows или программ, обычно выполняемых без указания пути (например, `findstr`, `net` и `python`). Если данные действия не связаны с известными операциями администраторов, обновлениями, установкой ПО и исправлений, их можно считать подозрительными.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте модификации переменной окружения PATH для таких ключей реестра, как `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path`. Злоумышленник может добавить новый каталог или перечень каталогов для скрытия путей выполнения программ.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, пути к исполняемым файлам которых являются усеченными путями к другим каталогам.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Проследите, чтобы были установлены надлежащие разрешения и контроль доступа к каталогам, которые запрещают пользователям записывать файлы в каталог верхнего уровня `C:` и системные каталоги, такие как `C:\Windows</code> — это позволит уменьшить количество мест, куда могут быть помещены вредоносные файлы для выполнения. Требуйте, чтобы все исполняемые файлы размещались в каталогах, защищенных от записи.`

ID	M1038	Название	Защита от выполнения	Описание	Злоумышленники, скорее всего, будут пытаться размещать новые бинарные файлы в местах, позволяющих использовать данную уязвимость для их выполнения. Выявляйте и при необходимости блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP).

ID	M1047	Название	Аудит	Описание	Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно. Очищайте реестр Windows от устаревших ключей при удалении программ, чтобы избежать наличия ключей, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Проследите, чтобы были установлены надлежащие разрешения и контроль доступа к каталогам, которые запрещают пользователям записывать файлы в каталог верхнего уровня `C:` и системные каталоги, такие как `C:\Windows</code> — это позволит уменьшить количество мест, куда могут быть помещены вредоносные файлы для выполнения. Требуйте, чтобы все исполняемые файлы размещались в каталогах, защищенных от записи.`
M1038	Защита от выполнения	Злоумышленники, скорее всего, будут пытаться размещать новые бинарные файлы в местах, позволяющих использовать данную уязвимость для их выполнения. Выявляйте и при необходимости блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP).
M1047	Аудит	Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно. Очищайте реестр Windows от устаревших ключей при удалении программ, чтобы избежать наличия ключей, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей.