Матрица MITRE ATT&CK

Техника на mitre.org

T1601.001: Внесение исправлений в образ системы

Злоумышленники могут внести изменения в операционную систему сетевого устройства, чтобы добавить новые функции или ослабить существующую защиту. Некоторые сетевые устройства имеют монолитную архитектуру, где операционная система и большинство функций содержатся в одном файле. Злоумышленники могут изменить этот файл в хранилище для последующей загрузки или непосредственно в памяти во время работы устройства.

Чтобы изменить операционную систему в хранилище, могут использоваться стандартные процедуры, доступные операторам устройств. Например, новый файл может быть загружен через типичные протоколы, доступные на сетевых устройствах, такие как TFTP, FTP и SCP, или с помощью консольного соединения. Исходный файл может быть перезаписан или заменен, после чего устройство будет перенастроено для загрузки скомпрометированного образа.

Чтобы изменить операционную систему в памяти, злоумышленники обычно используют один из двух методов. В первом случае злоумышленники могут применить команды, предназначенные для отладки операционной системы и встроенные в ее оригинальную, неизмененную версию, чтобы напрямую изменять данные в памяти по нужным адресам прямо во время работы ОС. Этот метод обычно требует административного уровня доступа к устройству.

Во втором методе злоумышленники используют загрузчик ОС для изменения операционной системы в памяти. Загрузчик ОС — это программа, которая запускается первой при включении устройства и затем загружает операционную систему. Злоумышленники могут использовать вредоносный код, внедренный в загрузчик, чтобы напрямую манипулировать кодом операционной системы в памяти, как в технике ROMMONkit. Вредоносный код, внесенный в загрузчик, позволяет злоумышленникам напрямую манипулировать памятью и изменять операционную систему во время ее работы.

Изменяя инструкции в файле образа системы, они могут ослабить существующую защиту или добавить новые функции, которых устройство не имело ранее. Например, можно ослабить такие существующие средства защиты, как шифрование (понижение надежности шифрования), аутентификация (аутентификация на сетевых устройствах) и защита периметра (преодоление границ сети). Злоумышленник может добавить, в зависимости от своих задач, такие возможности, как регистрация нажатий клавиш, создание цепочки прокси-серверов и простукивание портов.

Также злоумышленники могут скомпрометировать существующие команды в операционной системе, чтобы они выводили ложные данные и вводили защитников в заблуждение. Например, если этот метод используется вместе с понижением версии образа системы, может быть скомпрометирован вывод команды, показывающей текущую версию операционной системы. Путем модификации операционной системы злоумышленник может изменить команду так, чтобы она показывала исходный (более высокий) номер версии вместо более ранней версии, на которую был выполнен откат.

Для изменения файла операционной системы в хранилище может потребоваться модификация физического хранилища (обычно энергонезависимой флеш-памяти) либо загрузка по TFTP.

Если этот метод применяется к работающей операционной системе в памяти, а не к сохраненной копии, изменения не сохраняются после перезагрузки. Однако модификацию оперативной памяти операционной системы можно сочетать с техникой ROMMONkit, чтобы добиться закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Сравнивайте контрольную сумму файла операционной системы с контрольной суммой его копии, полученной из доверенного источника. Не все платформы встроенных сетевых устройств способны определять контрольные суммы файлов. Даже если платформа поддерживает эту функцию, рекомендуется загрузить копию файла на доверенный компьютер и проверить контрольную сумму с помощью нескомпрометированного программного обеспечения (https://tools.cisco.com/security/center/resources/integrity_assurance.html#7). Многие производители встроенных сетевых устройств могут предложить поддержку для углубленной отладки, чтобы помочь владельцу устройства проверить целостность операционной системы в памяти. Если вы подозреваете, что операционная система скомпрометирована, свяжитесь со службой технической поддержки производителя устройства, чтобы провести более тщательную проверку системы. https://tools.cisco.com/security/center/resources/integrity_assurance.html#13

ID	Источник и компонент данных	Описание
DS0022	Файл: Изменение файла	Сравнивайте контрольную сумму файла операционной системы с контрольной суммой его копии, полученной из доверенного источника. Не все платформы встроенных сетевых устройств способны определять контрольные суммы файлов. Даже если платформа поддерживает эту функцию, рекомендуется загрузить копию файла на доверенный компьютер и проверить контрольную сумму с помощью нескомпрометированного программного обеспечения (https://tools.cisco.com/security/center/resources/integrity_assurance.html#7). Многие производители встроенных сетевых устройств могут предложить поддержку для углубленной отладки, чтобы помочь владельцу устройства проверить целостность операционной системы в памяти. Если вы подозреваете, что операционная система скомпрометирована, свяжитесь со службой технической поддержки производителя устройства, чтобы провести более тщательную проверку системы. https://tools.cisco.com/security/center/resources/integrity_assurance.html#13

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.

ID	M1027	Название	Парольные политики	Описание	При создании политик паролей руководствуйтесь рекомендациями NIST .

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа.

ID	M1043	Название	Защита от получения учетных данных	Описание	Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были по возможности зашифрованы в соответствии с рекомендациями производителя .

ID	M1045	Название	Подпись исполняемого кода	Описание	Многие производители предоставляют образы операционных систем с цифровой подписью, чтобы подтвердить целостность программного обеспечения, используемого на их платформе. По возможности используйте эту функцию для предотвращения и (или) обнаружения попыток злоумышленников скомпрометировать образ системы .

ID	M1046	Название	Проверка целостности загрузки	Описание	Некоторые производители встраиваемых сетевых устройств предоставляют криптографическую подпись для обеспечения целостности образов операционных систем во время загрузки. Внедряйте их там, где это возможно, следуя рекомендациям поставщика .

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.
M1027	Парольные политики	При создании политик паролей руководствуйтесь рекомендациями NIST .
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа.
M1043	Защита от получения учетных данных	Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были по возможности зашифрованы в соответствии с рекомендациями производителя .
M1045	Подпись исполняемого кода	Многие производители предоставляют образы операционных систем с цифровой подписью, чтобы подтвердить целостность программного обеспечения, используемого на их платформе. По возможности используйте эту функцию для предотвращения и (или) обнаружения попыток злоумышленников скомпрометировать образ системы .
M1046	Проверка целостности загрузки	Некоторые производители встраиваемых сетевых устройств предоставляют криптографическую подпись для обеспечения целостности образов операционных систем во время загрузки. Внедряйте их там, где это возможно, следуя рекомендациям поставщика .