Цифровая охота: Отслеживание LOTL в вашей сети

В ‎рамках‏ ‎рекомендаций ‎предлагаются ‎регулярные ‎проверки ‎инвентаризации‏ ‎системы ‎для‏ ‎выявления‏ ‎поведения ‎злоумышленников, ‎которое‏ ‎может ‎быть‏ ‎пропущено ‎журналами ‎событий ‎из-за‏ ‎некорректных‏ ‎конфигураций. ‎Организациям‏ ‎рекомендуется ‎включить‏ ‎регистрацию ‎всех ‎событий, ‎связанных ‎с‏ ‎безопасностью,‏ ‎включая ‎действия‏ ‎командной ‎строки,‏ ‎системные ‎вызовы ‎и ‎журналы ‎аудита‏ ‎на‏ ‎всех‏ ‎платформах, ‎чтобы‏ ‎улучшить ‎обнаружение‏ ‎вредоносной ‎активности‏ ‎LOTL.

Сетевые‏ ‎журналы ‎

Обнаружение‏ ‎LOTL-методов ‎с ‎помощью ‎сетевых ‎журналов‏ ‎представляет ‎собой‏ ‎проблемы‏ ‎из-за ‎преходящего ‎характера‏ ‎сетевых ‎артефактов‏ ‎и ‎сложности ‎распознавания ‎вредоносной‏ ‎активности‏ ‎от ‎легитимного‏ ‎поведения. ‎В‏ ‎отличие ‎от ‎артефактов ‎хоста, ‎которые‏ ‎часто‏ ‎можно ‎обнаружить,‏ ‎если ‎только‏ ‎атакующий ‎намеренно ‎не ‎удалит ‎их,‏ ‎сетевые‏ ‎артефакты‏ ‎являются ‎производными‏ ‎от ‎сетевого‏ ‎трафика, ‎временными‏ ‎и‏ ‎требуют ‎надлежащей‏ ‎настройки ‎систем ‎управления ‎событиями ‎для‏ ‎их ‎отслеживания.‏ ‎Без‏ ‎соответствующих ‎датчиков ‎для‏ ‎регистрации ‎сетевого‏ ‎трафика ‎невозможно ‎наблюдать ‎за‏ ‎активностью‏ ‎LOTL.

Показатели ‎активности‏ ‎LOTL

Обнаружение ‎активности‏ ‎LOTL ‎включает ‎в ‎себя ‎поиск‏ ‎набора‏ ‎возможных ‎индикаторов‏ ‎для ‎формирования‏ ‎связанных ‎поведенческих ‎сетевых ‎признаков ‎в‏ ‎трафике.

📌 Просмотр‏ ‎журналов‏ ‎брандмауэра: Заблокированные ‎попытки‏ ‎доступа ‎в‏ ‎журналах ‎брандмауэра‏ ‎могут‏ ‎сигнализировать ‎о‏ ‎компрометации, ‎особенно ‎в ‎должным ‎образом‏ ‎сегментированной ‎сети.‏ ‎Попытки‏ ‎обнаружения ‎сети ‎и‏ ‎сопоставления ‎внутри‏ ‎неё ‎также ‎могут ‎указывать‏ ‎на‏ ‎активность ‎LOTL.‏ ‎Важно ‎различать‏ ‎обычное ‎поведение ‎инструмента ‎управления ‎сетью‏ ‎и‏ ‎аномальное.

📌 Исследование ‎аномальных‏ ‎признаков ‎в‏ ‎трафике: ‎изучение ‎определённых ‎типов ‎трафика,‏ ‎такие‏ ‎как‏ ‎запросы ‎LDAP‏ ‎от ‎хостов‏ ‎Linux, ‎не‏ ‎присоединённых‏ ‎к ‎домену,‏ ‎запросы ‎SMB ‎из ‎разных ‎сегментов‏ ‎сети ‎или‏ ‎запросы‏ ‎доступа ‎к ‎базе‏ ‎данных ‎с‏ ‎рабочих ‎станций ‎пользователей, ‎которые‏ ‎должны‏ ‎выполняться ‎только‏ ‎внешними ‎серверами,‏ ‎с ‎конечной ‎целью ‎отличить ‎легитимное‏ ‎приложения‏ ‎от ‎вредоносных‏ ‎запросов.

📌 Изучение ‎журналов‏ ‎сетевых ‎служб ‎на ‎хост-машинах: ‎журналы‏ ‎таких‏ ‎служб,‏ ‎как ‎Sysmon‏ ‎и ‎IIS,‏ ‎на ‎хост-машинах‏ ‎могут‏ ‎предоставить ‎информацию‏ ‎о ‎взаимодействиях ‎веб-сервера, ‎транзакциях ‎FTP‏ ‎и ‎других‏ ‎сетевых‏ ‎действиях. ‎Эти ‎журналы‏ ‎содержат ‎ценный‏ ‎контекст ‎и ‎детали, ‎которые‏ ‎могут‏ ‎быть ‎недоступны‏ ‎традиционным ‎сетевым‏ ‎устройствам.

📌 Объединение ‎журналов ‎сетевого ‎трафика ‎с‏ ‎журналами‏ ‎на ‎базе‏ ‎хоста: ‎этот‏ ‎подход ‎позволяет ‎включать ‎дополнительную ‎информацию,‏ ‎такую‏ ‎как‏ ‎учётная ‎запись‏ ‎пользователя ‎и‏ ‎сведения ‎о‏ ‎процессе.‏ ‎Расхождения ‎между‏ ‎артефактами ‎назначения ‎и ‎внутри ‎сети‏ ‎могут ‎указывать‏ ‎на‏ ‎вредоносный ‎трафик.

Журналы ‎событий‏ ‎приложений, ‎безопасности‏ ‎и ‎системных ‎событий

Системы ‎регистрации‏ ‎событий‏ ‎по ‎умолчанию‏ ‎часто ‎не‏ ‎позволяют ‎фиксировать ‎все ‎необходимые ‎события,‏ ‎потенциально‏ ‎оставляя ‎пробелы‏ ‎в ‎видимости‏ ‎вредоносных ‎действий. ‎Определение ‎приоритета ‎журналов‏ ‎и‏ ‎источников‏ ‎данных, ‎которые‏ ‎с ‎большей‏ ‎вероятностью ‎выявят‏ ‎вредоносную‏ ‎активность ‎LOTL,‏ ‎имеет ‎решающее ‎значение ‎для ‎эффективного‏ ‎обнаружения ‎и‏ ‎реагирования.

Журналы‏ ‎аутентификации

Журналы ‎аутентификации ‎играют‏ ‎важную ‎роль‏ ‎в ‎выявлении ‎попыток ‎несанкционированного‏ ‎доступа‏ ‎и ‎отслеживании‏ ‎действий ‎пользователей‏ ‎по ‎сети. ‎Регистрация ‎всех ‎операций,‏ ‎включая‏ ‎вызовы ‎API‏ ‎и ‎входы‏ ‎конечных ‎пользователей, ‎с ‎помощью ‎таких‏ ‎сервисов,‏ ‎как‏ ‎Amazon ‎Web‏ ‎Services ‎CloudTrail,‏ ‎Azure ‎Activity‏ ‎Log‏ ‎и ‎Google‏ ‎Cloud ‎Audit ‎Logs. ‎Эти ‎журналы‏ ‎могут ‎предоставить‏ ‎ценную‏ ‎информацию ‎о ‎потенциальных‏ ‎действиях ‎LOTL,‏ ‎выявляя ‎необычные ‎схемы ‎доступа‏ ‎или‏ ‎попытки ‎использования‏ ‎механизмов ‎аутентификации.

Надёжная‏ ‎стратегия ‎разграничения ‎привилегий ‎необходима ‎для‏ ‎идентификации‏ ‎методов ‎LOTL‏ ‎по ‎журналам‏ ‎аутентификации. ‎Такие ‎практики, ‎как ‎ограничение‏ ‎доступа‏ ‎учётных‏ ‎записей ‎администраторов‏ ‎домена ‎только‏ ‎к ‎контроллерам‏ ‎домена‏ ‎и ‎использование‏ ‎рабочих ‎станций ‎привилегированного ‎доступа ‎(PAWs)‏ ‎и ‎наличие‏ ‎MFA‏ ‎могут ‎свести ‎к‏ ‎минимуму ‎доступ‏ ‎к ‎учётным ‎данным ‎и‏ ‎усилить‏ ‎сегментацию ‎сети.

Регистрация‏ ‎событий ‎на‏ ‎хосте

Sysmon ‎и ‎другие ‎инструменты ‎регистрации‏ ‎хостовых‏ ‎событий ‎обеспечивают‏ ‎детальную ‎визуализацию‏ ‎системных ‎действий ‎о ‎создании ‎процессов,‏ ‎сетевых‏ ‎подключениях‏ ‎и ‎изменениях‏ ‎файловой ‎системы,‏ ‎эти ‎инструменты‏ ‎с‏ ‎целью ‎обнаружения‏ ‎и ‎расследования ‎подозрительных ‎активностей ‎и‏ ‎поведенческих ‎признаков.

Установление‏ ‎исходных‏ ‎условий ‎и ‎обеспечение‏ ‎защиты ‎журнала

Основополагающим‏ ‎шагом ‎в ‎обнаружении ‎аномального‏ ‎или‏ ‎потенциально ‎вредоносного‏ ‎поведения ‎является‏ ‎установление ‎условий ‎запуска ‎инструментов ‎и‏ ‎событий.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎понимание ‎механизмов ‎безопасности ‎операционных ‎систем‏ ‎для‏ ‎выявления‏ ‎отклонений, ‎которые‏ ‎могут ‎указывать‏ ‎на ‎угрозу‏ ‎безопасности.‏ ‎Также ‎важно‏ ‎полагаться ‎на ‎защищённые ‎журналы, ‎которые‏ ‎менее ‎подвержены‏ ‎подделке‏ ‎злоумышленниками. ‎Например, ‎в‏ ‎то ‎время‏ ‎как ‎файлы ‎Linux ‎.bash_history‏ ‎могут‏ ‎быть ‎изменены‏ ‎непривилегированными ‎пользователями,‏ ‎журналы ‎аудита ‎системного ‎уровня ‎более‏ ‎безопасны‏ ‎и ‎обеспечивают‏ ‎надёжную ‎запись‏ ‎действий.

Использование ‎Sysmon ‎в ‎средах ‎Windows

Sysmon,‏ ‎инструмент‏ ‎мониторинга‏ ‎системы ‎Windows,‏ ‎предоставляет ‎детальную‏ ‎информацию ‎о‏ ‎таких‏ ‎действиях, ‎как‏ ‎создание ‎процессов, ‎сетевые ‎подключения ‎и‏ ‎модификации ‎реестра.‏ ‎Подробное‏ ‎протоколирование ‎имеет ‎неоценимое‏ ‎значение ‎для‏ ‎служб ‎безопасности ‎при ‎поиске‏ ‎и‏ ‎выявлении ‎случаев‏ ‎неправильного ‎использования‏ ‎легитимных ‎инструментов. ‎Ключевые ‎стратегии ‎включают:

Использование‏ ‎свойства‏ ‎OriginalFileName ‎для‏ ‎идентификации ‎переименованных‏ ‎файлов, ‎которые ‎могут ‎указывать ‎на‏ ‎вредоносную‏ ‎активность‏ ‎(для ‎большинства‏ ‎утилит ‎Microsoft‏ ‎исходные ‎имена‏ ‎файлов‏ ‎хранятся ‎в‏ ‎заголовке ‎PE).

Внедрение ‎методов ‎обнаружения ‎для‏ ‎выявления ‎использования‏ ‎утилит‏ ‎командной ‎строки ‎и‏ ‎скриптов, ‎особенно‏ ‎использующих ‎альтернативные ‎потоки ‎данных‏ ‎(ADS)‏ ‎— ‎мониторинг‏ ‎определённых ‎аргументов‏ ‎командной ‎строки ‎или ‎синтаксиса, ‎используемых‏ ‎для‏ ‎взаимодействия ‎с‏ ‎ADS.

Стратегии ‎обнаружения

Усовершенствование‏ ‎конфигураций ‎Sysmon ‎для ‎анализа ‎с‏ ‎упором‏ ‎на‏ ‎шаблоны, ‎указывающие‏ ‎на ‎обфускацию,‏ ‎может ‎помочь‏ ‎выявить‏ ‎попытки ‎обойти‏ ‎средства ‎мониторинга ‎безопасности, ‎например ‎использование‏ ‎управляющих ‎символов,‏ ‎объединение‏ ‎команд ‎и ‎использование‏ ‎кодировки ‎Base64.

Мониторинг‏ ‎подозрительных ‎цепочек ‎процессов

Мониторинг ‎подозрительных‏ ‎цепочек‏ ‎процессов, ‎например‏ ‎связанных ‎с‏ ‎Microsoft ‎Office ‎и ‎процессами ‎создания‏ ‎скриптов,‏ ‎является ‎ключевым‏ ‎показателем ‎активности‏ ‎LOTL, ‎т. ‎к. ‎приложения ‎Office‏ ‎редко‏ ‎запускают‏ ‎процессы ‎(cmd.exe,‏ ‎PowerShell, ‎wscript.exe‏ ‎или ‎cscript.exe).

Интеграция‏ ‎журналов‏ ‎с ‎SIEM-системами

Интеграция‏ ‎журналов ‎Sysmon ‎с ‎SIEM-системами ‎с‏ ‎целью ‎применения‏ ‎правил‏ ‎корреляции ‎может ‎значительно‏ ‎улучшить ‎обнаружение‏ ‎атак ‎путём ‎автоматизации ‎процесса‏ ‎обнаружения‏ ‎и ‎применения‏ ‎аналитики ‎для‏ ‎выявления ‎сложных ‎поведенческих ‎моделей ‎вредоносной‏ ‎активности.

Рекомендации‏ ‎по ‎работе‏ ‎с ‎Linux‏ ‎и ‎macOS

На ‎компьютерах ‎с ‎Linux‏ ‎использование‏ ‎Auditd‏ ‎или ‎Sysmon‏ ‎и ‎интеграция‏ ‎этих ‎журналов‏ ‎с‏ ‎платформой ‎SIEM‏ ‎могут ‎значительно ‎улучшить ‎обнаружение ‎аномальных‏ ‎действий. ‎Для‏ ‎macOS‏ ‎использование ‎таких ‎инструментов,‏ ‎как ‎Santa,‏ ‎система ‎авторизации ‎с ‎открытым‏ ‎исходным‏ ‎кодом, ‎может‏ ‎помочь ‎отслеживать‏ ‎выполнение ‎процессов ‎и ‎обнаруживать ‎аномальное‏ ‎поведение‏ ‎производительных ‎приложений

Просмотр‏ ‎Конфигураций

Регулярный ‎анализ‏ ‎и ‎обновление ‎системных ‎конфигураций ‎необходимы‏ ‎для‏ ‎обеспечения‏ ‎того, ‎чтобы‏ ‎меры ‎безопасности‏ ‎оставались ‎эффективными‏ ‎против‏ ‎возникающих ‎угроз.‏ ‎Это ‎включает ‎проверку ‎того, ‎что‏ ‎параметры ‎систем‏ ‎регистрации‏ ‎событий ‎надлежащим ‎образом‏ ‎настроены ‎для‏ ‎сбора ‎соответствующих ‎данных ‎и‏ ‎что‏ ‎средства ‎контроля‏ ‎безопасности ‎соответствуют‏ ‎современным ‎передовым ‎практикам. ‎Организациям ‎также‏ ‎следует‏ ‎оценить ‎использование‏ ‎списков ‎разрешений‏ ‎и ‎других ‎механизмов ‎контроля ‎доступа‏ ‎для‏ ‎предотвращения‏ ‎злоупотребление ‎легитимными‏ ‎инструментами ‎злоумышленниками.

Регулярные‏ ‎проверки ‎конфигураций‏ ‎хостов‏ ‎на ‎соответствие‏ ‎установленным ‎базовым ‎показателям ‎необходимы ‎для‏ ‎выявления ‎признаков‏ ‎компрометации,‏ ‎и ‎включают ‎изменения‏ ‎в ‎установленном‏ ‎программном ‎обеспечении, ‎конфигурации ‎брандмауэра‏ ‎и‏ ‎обновления ‎основных‏ ‎файлов, ‎таких‏ ‎как ‎файл ‎Hosts, ‎который ‎используется‏ ‎для‏ ‎разрешения ‎DNS.‏ ‎Проверки ‎могут‏ ‎выявить ‎несоответствия, ‎которые ‎сигнализируют ‎о‏ ‎несанкционированных‏ ‎модификациях‏ ‎или ‎присутствии‏ ‎вредоносного ‎программного‏ ‎обеспечения.

📌 Обход ‎стандартных‏ ‎журналов‏ ‎событий: ‎известно,‏ ‎что ‎атакующие ‎обходят ‎стандартные ‎журналы‏ ‎событий, ‎напрямую‏ ‎внося‏ ‎изменения ‎в ‎реестр‏ ‎для ‎регистрации‏ ‎служб ‎и ‎запланированных ‎задач.‏ ‎Такой‏ ‎подход ‎не‏ ‎регистрируется ‎в‏ ‎стандартных ‎системных ‎событиях, ‎что ‎делает‏ ‎его‏ ‎способом ‎сокрытия‏ ‎активностей.

📌 Системные ‎инвентаризационные‏ ‎аудиты: ‎проведение ‎регулярных ‎системных ‎инвентаризационных‏ ‎аудитов‏ ‎является‏ ‎упреждающей ‎мерой‏ ‎для ‎выявления‏ ‎поведения ‎злоумышленников,‏ ‎которое‏ ‎могло ‎быть‏ ‎пропущено ‎журналами ‎событий ‎по ‎различным‏ ‎причинам, ‎а‏ ‎также‏ ‎гарантирует, ‎что ‎любые‏ ‎изменения ‎в‏ ‎системе ‎санкционированы ‎и ‎учтены.

Поведенческий‏ ‎анализ

Сравнение‏ ‎активности ‎с‏ ‎обычным ‎поведением‏ ‎пользователя ‎позволяет ‎говорить ‎об ‎обнаружении‏ ‎аномалий.‏ ‎Необычное ‎поведение,‏ ‎на ‎которое‏ ‎следует ‎обратить ‎внимание, ‎например ‎включает‏ ‎нетиповое‏ ‎время‏ ‎входа ‎в‏ ‎систему, ‎доступ‏ ‎вне ‎ожидаемого‏ ‎рабочего‏ ‎графика ‎или‏ ‎праздничных ‎перерывов, ‎быструю ‎последовательность ‎или‏ ‎большое ‎количество‏ ‎попыток‏ ‎доступа, ‎необычные ‎пути‏ ‎доступа, ‎одновременные‏ ‎входы ‎в ‎систему ‎из‏ ‎нескольких‏ ‎мест.

NTDSUtil.exe ‎и‏ ‎PSExec.exe

Особое ‎внимание‏ ‎уделяется ‎выявлению ‎неправомерного ‎использования ‎NTDSUtil.exe‏ ‎и‏ ‎PSExec.exe ‎инструментов,‏ ‎которые, ‎хотя‏ ‎и ‎являются ‎легитимными, ‎часто ‎используются‏ ‎злоумышленниками‏ ‎в‏ ‎злонамеренных ‎целях,‏ ‎например ‎попытки‏ ‎сбросить ‎учётные‏ ‎данные‏ ‎или ‎распространяться‏ ‎по ‎сети ‎в ‎направлении. ‎Сосредоточив‏ ‎внимание ‎на‏ ‎поведенческом‏ ‎контексте ‎использования ‎этих‏ ‎инструментов, ‎организации‏ ‎могут ‎более ‎эффективно ‎проводить‏ ‎различие‏ ‎между ‎легитимными‏ ‎и ‎вредоносными‏ ‎действиями.

Процесс ‎эксплуатации

Обычная ‎тактика ‎заключается ‎в‏ ‎создании‏ ‎теневой ‎копии‏ ‎системного ‎диска‏ ‎на ‎томе, ‎обычно ‎с ‎помощью‏ ‎vssadmin.exe‏ ‎с‏ ‎помощью ‎таких‏ ‎команд, ‎как‏ ‎Create ‎Shadow‏ ‎/for=C:.‏ ‎Это ‎действие‏ ‎создает ‎моментальный ‎снимок ‎текущего ‎состояния‏ ‎системы, ‎включая‏ ‎базу‏ ‎данных ‎Active ‎Directory.‏ ‎После ‎этого‏ ‎ntdsutil.exe ‎используется ‎для ‎взаимодействия‏ ‎с‏ ‎этой ‎копией‏ ‎с ‎помощью‏ ‎определённой ‎последовательности ‎команд ‎(ntdsutil ‎snapshot‏ ‎«activate‏ ‎instance ‎ntds»‏ ‎create ‎quit‏ ‎quit). ‎Затем ‎злоумышленники ‎получают ‎доступ‏ ‎к‏ ‎теневой‏ ‎копии, ‎чтобы‏ ‎извлечь ‎файл‏ ‎ntds.dit ‎из‏ ‎указанного‏ ‎каталога. ‎Эта‏ ‎последовательность ‎предназначена ‎для ‎извлечения ‎конфиденциальных‏ ‎учётных ‎данных,‏ ‎таких‏ ‎как ‎хэшированные ‎пароли,‏ ‎из ‎Active‏ ‎Directory, ‎что ‎позволяет ‎полностью‏ ‎скомпрометировать‏ ‎домен.

Обнаружение ‎и‏ ‎реагирование

Для ‎обнаружения‏ ‎такого ‎использования ‎и ‎реагирования ‎на‏ ‎него‏ ‎крайне ‎важно‏ ‎понимать ‎контекст‏ ‎ntdsutil.exe ‎действий ‎и ‎проводить ‎различие‏ ‎между‏ ‎легитимным‏ ‎административным ‎использованием‏ ‎и ‎потенциальным‏ ‎злонамеренным ‎использованием.‏ ‎Основные‏ ‎источники ‎журналов‏ ‎и ‎стратегии ‎мониторинга ‎включают:

📌 Журналы ‎командной‏ ‎строки ‎и‏ ‎создания‏ ‎процессов: журналы ‎безопасности ‎(идентификатор‏ ‎события ‎4688)‏ ‎и ‎журналы ‎Sysmon ‎(идентификатор‏ ‎события‏ ‎1) ‎предоставляют‏ ‎информацию ‎о‏ ‎выполнении ‎ntdsutil.exe ‎команд. ‎Необычное ‎или‏ ‎нечастое‏ ‎использование ‎ntdsutil.exe‏ ‎для ‎создания‏ ‎моментальных ‎снимков ‎может ‎указывать ‎на‏ ‎подозрительную‏ ‎активность.

📌 Журналы‏ ‎создания ‎файлов‏ ‎и ‎доступа‏ ‎к ‎ним:‏ ‎мониторинг‏ ‎событий ‎создания‏ ‎файлов ‎(идентификатор ‎события ‎Sysmon’а ‎11)‏ ‎и ‎попыток‏ ‎доступа‏ ‎к ‎конфиденциальным ‎файлам,‏ ‎таким ‎как‏ ‎NTDS.dit ‎(идентификатор ‎события ‎4663),‏ ‎могут‏ ‎предоставить ‎дополнительный‏ ‎контекст ‎для‏ ‎процесса ‎создания ‎моментальных ‎снимков ‎и‏ ‎доступа.

📌 Журналы‏ ‎использования ‎привилегий:‏ ‎идентификатор ‎события‏ ‎4673 ‎в ‎журналах, ‎указывающий ‎на‏ ‎использование‏ ‎привилегированных‏ ‎служб, ‎может‏ ‎говорить ‎о‏ ‎потенциальном ‎злоупотреблении,‏ ‎когда‏ ‎оно ‎связано‏ ‎с ‎выполнением ‎ntdsutil.exe ‎команд.

📌 Журналы ‎сетевой‏ ‎активности ‎и‏ ‎аутентификации:‏ ‎журналы ‎могут ‎содержать‏ ‎информацию ‎о‏ ‎одновременных ‎удалённых ‎подключениях ‎или‏ ‎передачах‏ ‎данных, ‎потенциально‏ ‎указывая ‎на‏ ‎попытки ‎эксфильтрации ‎данных. ‎Журналы ‎аутентификации‏ ‎также‏ ‎важны ‎для‏ ‎идентификации ‎исполнителя‏ ‎команды ‎ntdsutil.exe ‎и ‎оценки ‎того,‏ ‎соответствует‏ ‎ли‏ ‎использование ‎типичному‏ ‎поведению ‎администратора.

Комплексный‏ ‎анализ ‎PSExec.exe‏ ‎

PSExec.exe,‏ ‎компонент ‎пакета‏ ‎Microsoft ‎PsTools, ‎представляет ‎собой ‎мощную‏ ‎утилиту ‎для‏ ‎системных‏ ‎администраторов, ‎предлагающую ‎возможность‏ ‎удалённого ‎выполнения‏ ‎команд ‎в ‎сетевых ‎системах,‏ ‎часто‏ ‎с ‎повышенными‏ ‎привилегиями. ‎Однако‏ ‎его ‎универсальность ‎также ‎делает ‎его‏ ‎излюбленным‏ ‎инструментом ‎у‏ ‎APT-групп.

Роль ‎PSExec.exe‏ ‎в ‎киберугрозах

PSExec.exe ‎обычно ‎используется ‎для‏ ‎удалённого‏ ‎администрирования‏ ‎и ‎выполнения‏ ‎процессов ‎в‏ ‎разных ‎системах.‏ ‎Его‏ ‎способность ‎работать‏ ‎с ‎системными ‎привилегиями ‎делает ‎его‏ ‎особенно ‎привлекательным‏ ‎для‏ ‎вредоносного ‎использования, ‎например‏ ‎для ‎выполнения‏ ‎одноразовых ‎команд, ‎направленных ‎на‏ ‎изменение‏ ‎системных ‎конфигураций,‏ ‎таких ‎как‏ ‎удаление ‎конфигураций ‎прокси-порта ‎на ‎удалённом‏ ‎хосте‏ ‎с ‎помощью‏ ‎команд ‎типа:

«C:\pstools\psexec.exe»‏ ‎{REDACTED} ‎-s ‎cmd ‎/c ‎«cmd.exe‏ ‎/c‏ ‎netsh‏ ‎interface ‎portproxy‏ ‎delete ‎v4tov4‏ ‎listenaddress=0.0.0.0 ‎listenport=9999»

Стратегии‏ ‎обнаружения

Для‏ ‎эффективного ‎противодействия‏ ‎злонамеренному ‎использованию ‎PSExec.exe ‎сетевые ‎защитники‏ ‎должны ‎использовать‏ ‎различные‏ ‎журналы, ‎которые ‎дают‏ ‎представление ‎о‏ ‎выполнении ‎команд ‎и ‎более‏ ‎широком‏ ‎контексте ‎операции:

📌 Журналы‏ ‎командной ‎строки‏ ‎и ‎создания ‎процессов: ‎Журналы ‎безопасности‏ ‎(идентификатор‏ ‎события ‎4688)‏ ‎и ‎журналы‏ ‎Sysmon ‎(идентификатор ‎события ‎1) ‎полезны‏ ‎для‏ ‎отслеживания‏ ‎выполнения ‎PSExec.exe‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎команд.‏ ‎В ‎этих‏ ‎журналах ‎подробно ‎описывается ‎использованная ‎командная‏ ‎строка, ‎определяющая‏ ‎природу‏ ‎и ‎«намерения» ‎процесса.

📌 Журналы‏ ‎использования ‎привилегий‏ ‎и ‎явных ‎учётных ‎данных:‏ ‎журналы‏ ‎безопасности ‎Идентификатор‏ ‎события ‎4672)‏ ‎документируют ‎случаи, ‎когда ‎новым ‎входам‏ ‎в‏ ‎систему ‎назначаются‏ ‎особые ‎привилегии,‏ ‎что ‎крайне ‎важно, ‎когда ‎PsExec‏ ‎выполняется‏ ‎с‏ ‎переключателем ‎-s‏ ‎для ‎системных‏ ‎привилегий. ‎Идентификатор‏ ‎события‏ ‎4648 ‎фиксирует‏ ‎явное ‎использование ‎учётных ‎данных, ‎указывая,‏ ‎когда ‎PsExec‏ ‎запускается‏ ‎с ‎определёнными ‎учётными‏ ‎данными ‎пользователя.

📌 Sysmon‏ ‎регистрирует ‎сетевые ‎подключения ‎и‏ ‎изменения‏ ‎реестра: ‎идентификатор‏ ‎события ‎3‏ ‎Sysmon ‎регистрирует ‎сетевые ‎подключения, ‎что‏ ‎является‏ ‎центральным ‎элементом‏ ‎функции ‎удалённого‏ ‎выполнения ‎PsExec. ‎Идентификаторы ‎событий ‎12,‏ ‎13‏ ‎и‏ ‎14 ‎отслеживают‏ ‎изменения ‎реестра,‏ ‎включая ‎удаления‏ ‎(Идентификатор‏ ‎события ‎14)‏ ‎разделов ‎реестра, ‎связанных ‎с ‎выполненной‏ ‎командой ‎Netsh,‏ ‎предоставляя‏ ‎доказательства ‎изменений ‎конфигурации‏ ‎системы.

📌 Журналы ‎аудита‏ ‎реестра ‎Windows: ‎в ‎журналы‏ ‎записываются‏ ‎изменения ‎разделов‏ ‎реестра, ‎содержащие‏ ‎информацию, ‎такую ‎как ‎временная ‎метка‏ ‎изменений,‏ ‎учётная ‎запись,‏ ‎под ‎которой‏ ‎были ‎внесены ‎изменения ‎(часто ‎системная‏ ‎учётная‏ ‎запись‏ ‎из-за ‎переключателя‏ ‎PsExec ‎-s),‏ ‎и ‎конкретные‏ ‎изменённые‏ ‎или ‎удалённые‏ ‎значения ‎реестра.

📌 Журналы ‎сети ‎и ‎брандмауэра:‏ ‎анализ ‎сетевого‏ ‎трафика,‏ ‎особенно ‎трафика ‎SMB,‏ ‎характерного ‎для‏ ‎использования ‎PsExec, ‎и ‎журналов‏ ‎брандмауэра‏ ‎в ‎целевой‏ ‎системе ‎может‏ ‎выявить ‎подключения ‎к ‎общим ‎ресурсам‏ ‎администрирования‏ ‎и ‎изменения‏ ‎конфигурации ‎сети‏ ‎системы. ‎Журналы ‎коррелируют ‎со ‎временем‏ ‎выполнения‏ ‎команды,‏ ‎предоставляя ‎дополнительный‏ ‎контекст ‎для‏ ‎действия.