Матрица MITRE ATT&CK

Техника на mitre.org

T1652: Изучение драйверов устройств

Злоумышленники могут пытаться узнать, какие драйверы локальных устройств используются на целевой системе. Информация о драйверах устройств может помочь спланировать дальнейшие действия и, например, определить назначение и возможности узла, установленные средства безопасности (см. технику Изучение средств защиты), используемые методы защиты (например, для реализации техники Обход виртуализации или песочницы) и потенциальные уязвимости для эксплуатации (например, для реализации техники Эксплуатация уязвимостей для повышения привилегий).

В операционных системах есть различные встроенные средства для получения информации о локальных драйверах устройств, такие как утилита driverquery.exe и API-функция EnumDeviceDrivers()в Windows. Информация о драйверах устройств (и связанных с ними службах — см. технику Изучение системных служб) также может быть доступна в реестре.

В Linux и macOS драйверы устройств (модули ядра) можно увидеть в каталоге /dev или с помощью таких утилит, как lsmod и modinfo.

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение таких команд, как `lsmod` и `driverquery`, с аргументами, которые могут указывать на потенциально вредоносные попытки получить списки драйверов устройств.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы (такие как `lsmod` и `driverquery.exe`), генерирующие события, которые могут указывать на потенциально вредоносные попытки получить списки драйверов устройств.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API (такие как `EnumDeviceDrivers()`), которые могут пытаться собирать информацию о драйверах локальных устройств.

ID	DS0024	Источник и компонент данных	Реестр Windows: Доступ к ключу реестра Windows	Описание	Отслеживайте попытки доступа к хранящимся в реестре данным об устройствах и связанных с ними драйверах, включая значения в `HKLM\SYSTEM\CurrentControlSet\Services` и `HKLM\SYSTEM\CurrentControlSet\HardwareProfiles`.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение таких команд, как `lsmod` и `driverquery`, с аргументами, которые могут указывать на потенциально вредоносные попытки получить списки драйверов устройств.
DS0009	Процесс: Создание процесса	Отслеживайте процессы (такие как `lsmod` и `driverquery.exe`), генерирующие события, которые могут указывать на потенциально вредоносные попытки получить списки драйверов устройств.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API (такие как `EnumDeviceDrivers()`), которые могут пытаться собирать информацию о драйверах локальных устройств.
DS0024	Реестр Windows: Доступ к ключу реестра Windows	Отслеживайте попытки доступа к хранящимся в реестре данным об устройствах и связанных с ними драйверах, включая значения в `HKLM\SYSTEM\CurrentControlSet\Services` и `HKLM\SYSTEM\CurrentControlSet\HardwareProfiles`.