Microsoft Windows PowerShell: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-770	Использование хакерской утилиты DSInternals	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе DSInternals. DSInternals — это инструмент для администраторов и аудиторов Active Directory, который позволяет получить доступ к скрытым функциям и данным. Атакующие могут использовать его при атаках на AD и получении информации из него. Данное правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с хакерской утилитой DSInternals в оболочке PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.	Execution (TA0002) Privilege Escalation (TA0004) Defense Evasion (TA0005) Credential Access (TA0006) Discovery (TA0007) OS Credential Dumping (T1003) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Password Policy Discovery (T1201) Domain or Tenant Policy Modification (T1484) Steal or Forge Kerberos Tickets (T1558)
RV-D-771	Использование хакерской утилиты nishang	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе nishang.Nishang — это фреймворк, состоящий из набора скриптов, который позволяет использовать PowerShell для обеспечения тестирования на проникновение. Но атакующие также могут использовать его для достижения своих целей. Данное правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с данной утилитой. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.	Initial Access (TA0001) Execution (TA0002) Persistence (TA0003) Defense Evasion (TA0005) Credential Access (TA0006) Discovery (TA0007) Collection (TA0009) Command and Control (TA0011) Exfiltration (TA0010) OS Credential Dumping (T1003) LSASS Memory (T1003.001) Security Account Manager (T1003.002) Data from Local System (T1005) Obfuscated Files or Information (T1027) Command Obfuscation (T1027.010) Exfiltration Over C2 Channel (T1041) Network Service Discovery (T1046) Input Capture (T1056) Keylogging (T1056.001) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) System Information Discovery (T1082) Account Discovery (T1087) Web Service (T1102) Ingress Tool Transfer (T1105) System Binary Proxy Execution (T1218) InstallUtil (T1218.004) Rundll32 (T1218.011) Boot or Logon Autostart Execution (T1547) Registry Run Keys / Startup Folder (T1547.001) Hide Artifacts (T1564) NTFS File Attributes (T1564.004) Phishing (T1566)
RV-D-772	Использование хакерской утилиты OWA-Toolkit	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Злоумышленники могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе OWA-Toolkit. OWA-Toolkit — это инструмент, который помогает в атаках на Exchange/Outlook Web Access (OWA). OWA — это веб-интерфейс для доступа к почтовым ящикам и календарям, хранящимся на серверах Exchange. OWA-Toolkit может использоваться для разных целей, таких как подбор паролей к учетным записям OWA, сбор и анализ данных из OWA, копирование глобального адресного списка (GAL) из OWA, выполнение команд на целевых системах через OWA. OWA-Toolkit может использоваться злоумышленниками для получения доступа к конфиденциальной информации, компрометации учетных записей, выполнения дальнейших атак на внутреннюю сеть или обхода защитных механизмов. Правило нацелено на обнаружение модулей и запуск командлетов, связанных с утилитой OWA-Toolkit в оболочке PowerShell.	Initial Access (TA0001) Execution (TA0002) Persistence (TA0003) Collection (TA0009) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Email Collection (T1114) External Remote Services (T1133) Archive Collected Data (T1560)
RV-D-773	Использование хакерской утилиты PowerShell-Suit	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Злоумышленники могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PowerShell-Suit. PowerShell-Suite –- это набор инструментов и скриптов, предназначенных для автоматизации и управления системами. Атакующие могут его использовать, так как он имеет множество модулей и затрагивает большое количество техник и тактик, таких как Discovery, Credential Access, Execution, Scripting, Lateral Movement. Правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с хакерской утилитой PowerShell-Suit в оболочке PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.	Execution (TA0002) Credential Access (TA0006) Discovery (TA0007) Lateral Movement (TA0008) OS Credential Dumping (T1003) LSASS Memory (T1003.001) Remote Services (T1021) Windows Remote Management (T1021.006) Process Discovery (T1057) Command and Scripting Interpreter (T1059) PowerShell (T1059.001)
RV-D-774	Использование хакерской утилиты PowerShellArsenal	PowerShell - это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Злоумышленники могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PowerShellArsenal. PowerShellArsenal — это модуль PowerShell, который может использоваться для дизассемблирования кода, извлечения данных из памяти, анализа кода .NET, разбора форматов файлов и структур памяти, получения внутренней информации о системе и т.д. Атакующие могут использовать его для достижения своих целей. Данное правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с хакерской утилитой PowerShellArsenal в оболочке PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.	Execution (TA0002) Credential Access (TA0006) Discovery (TA0007) Lateral Movement (TA0008) OS Credential Dumping (T1003) LSASS Memory (T1003.001) Remote Services (T1021) Windows Remote Management (T1021.006) Process Discovery (T1057) Command and Scripting Interpreter (T1059) PowerShell (T1059.001)
RV-D-775	Загрузка файлов с помощью PowerShell	Данное правило направленно на детектирование событий по загрузке файлов с помощью PowerShell. Атакующие могут отправлять жертвам фишинговые письма с PowerShell-скриптом, который скачивает файлы для атаки, не привлекая внимания антивируса. Чтобы предотвратить это, нужно обнаруживать и блокировать модули и командлеты, которые связаны с загрузкой файлов в PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.	Initial Access (TA0001) Execution (TA0002) Lateral Movement (TA0008) Command and Control (TA0011) Remote Services (T1021) SSH (T1021.004) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Ingress Tool Transfer (T1105) Phishing (T1566) Spearphishing Link (T1566.002)
RV-D-776	Использование обфускации PowerShell	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. Для того чтобы обойти обнаружение, атакующие используют обфускацию кода. Обфускация кода — это метод, позволяющий затруднить анализ строк и шаблонов в командах и скриптах. Этот тип запутывания может быть включен в команды, выполняемые доставляемыми полезными нагрузками, в том числе в PowerShell. Правило нацелено на обнаружение модулей и запуск командлетов, связанных с обфускацией кода в оболочке PowerShell.	Execution (TA0002) Defense Evasion (TA0005) Obfuscated Files or Information (T1027) Command Obfuscation (T1027.010) Command and Scripting Interpreter (T1059) PowerShell (T1059.001)
RV-D-777	Использование WinApi через PowerShell	Windows API — это набор функций, которые предоставляются системными DLL-файлами, такими как kernel32.dll, user32.dll и другими. Эти функции позволяют работать с операционной системой на низком уровне. PowerShell WinAPI используется для того, чтобы задействовать возможности Windows API в сценариях PowerShell, которые не могут быть реализованы с помощью стандартных командлетов или .NET-классов. Например, с помощью PowerShell WinAPI можно вызывать функции для работы с файлами, реестром, процессами, окнами, сетью и другими аспектами системы. PowerShell WinAPI может использоваться атакующими для выполнения различных атак на компьютеры и сети. Например, с его помощью можно скрывать активность от антивирусов и других средств обнаружения (используя функции для инъекции кода, изменения прав доступа, создания скрытых окон), получать доступ к защищенным данным (используя функции для чтения и записи памяти, дампа паролей, перехвата клавиатурного ввода), а также управлять удаленными системами (используя функции для создания и удаления процессов, открытия и закрытия сессий, отправки и получения сообщений). Правило нацелено на детектирование использования функций WinAPI в оболочке PowerShell или PowerShell-скриптах.	Execution (TA0002) Privilege Escalation (TA0004) Defense Evasion (TA0005) Obfuscated Files or Information (T1027) Process Injection (T1055) Process Injection (T1055) Portable Executable Injection (T1055.002) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Native API (T1106)
RV-D-778	Использование хакерской утилиты PowerSploit	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PowerSploit.PowerSploit — это набор модулей Microsoft PowerShell, которые могут быть использованы для тестирования на проникновение. Атакующие активно применяют его для проведения кибератак, используя его расширенный функционал. Данное правило нацелено на обнаружение событий по запуску модулей или командлетов, связанных с хакерской утилитой PowerSploit в оболочке PowerShell. В случае детектирования данного инцидента необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено, необходимо заблокировать учетную запись и узел, инициировать процесс расследования.	Execution (TA0002) Persistence (TA0003) Privilege Escalation (TA0004) Defense Evasion (TA0005) Credential Access (TA0006) Discovery (TA0007) Collection (TA0009) OS Credential Dumping (T1003) Data from Local System (T1005) Direct Volume Access (T1006) Query Registry (T1012) Obfuscated Files or Information (T1027) Indicator Removal from Tools (T1027.005) Command Obfuscation (T1027.010) Windows Management Instrumentation (T1047) Scheduled Task/Job (T1053) At (T1053.002) Scheduled Task (T1053.005) Process Injection (T1055) Dynamic-link Library Injection (T1055.001) Input Capture (T1056) Process Discovery (T1057) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Account Discovery (T1087) Local Account (T1087.001) Screen Capture (T1113) Audio Capture (T1123) Access Token Manipulation (T1134) Exploitation for Credential Access (T1212) File and Directory Permissions Modification (T1222) Windows File and Directory Permissions Modification (T1222.001) Domain Trust Discovery (T1482) Create or Modify System Process (T1543) Windows Service (T1543.003) Boot or Logon Autostart Execution (T1547) Registry Run Keys / Startup Folder (T1547.001) Security Support Provider (T1547.005) Unsecured Credentials (T1552) Credentials in Registry (T1552.002) Group Policy Preferences (T1552.006) Credentials from Password Stores (T1555) Windows Credential Manager (T1555.004) Steal or Forge Kerberos Tickets (T1558) Kerberoasting (T1558.003) Hijack Execution Flow (T1574) DLL (T1574.001) Path Interception by PATH Environment Variable (T1574.007) Path Interception by Search Order Hijacking (T1574.008) Path Interception by Unquoted Path (T1574.009) Obtain Capabilities (T1588) Tool (T1588.002) Reflective Code Loading (T1620)
RV-D-779	Использование хакерской утилиты PSMapExec	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PsMapExec.PsMapExec — это фреймворк для пост-эксплуатации и оценки компрометации среды Active Directory на базе PowerShell. PsMapExec позволяет выполнять различные действия на удаленных компьютерах, используя разные протоколы и методы аутентификации. Данное правило нацелено на обнаружение модулей и запуск командлетов, связанных с хакерской утилитой PsMapExec. В случае обнаружения корреляционного события необходимо связаться с ответственным лицом, получить подтверждение легитимности действий. Если подтверждение не будет получено, необходимо заблокировать учетную запись и узел, инициировать процесс расследования.	Initial Access (TA0001) Execution (TA0002) Credential Access (TA0006) Lateral Movement (TA0008) Remote Services (T1021) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Valid Accounts (T1078) Steal or Forge Kerberos Tickets (T1558) Golden Ticket (T1558.001) System Services (T1569)
RV-D-780	Использование хакерской утилиты SharpHound	PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, одна из которых — SharpHound. SharpHound — это инструмент, который собирает данные из Active Directory в формате JSON для дальнейшего анализа при помощи утилиты BloodHound. BloodHound — это инструмент для разведки Active Directory (AD), который может раскрывать скрытые связи и определять пути атаки в среде AD. Благодаря ему атакующий может построить подробную карту домена со всеми доверительными отношениями, УЗ и объектами. SharpHound, в свою очередь, позволяет собрать необходимую для этого информацию, обладая минимальными правами пользователя. BloodHound позволяет построить маршрут атаки, по которому атакующие смогут быстрее всего добраться до интересующей их цели в домене. В случае обнаружения корреляционного события необходимо связаться с ответственным лицом, получить подтверждение легитимности действий. Если подтверждение не будет получено, необходимо заблокировать учетную запись и узел, инициировать процесс расследования.	Execution (TA0002) Discovery (TA0007) Remote System Discovery (T1018) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Account Discovery (T1087) Local Account (T1087.001) Domain Trust Discovery (T1482)
RV-D-782	Прямой доступ к диску через PowerShell	Правило отслеживает прямой доступ к логическим томам диска через PowerShell с использованием пути `\\.{volume_name}` и класса `IO.FileStream`. Атакующий может использовать эту технику для обхода стандартных механизмов контроля доступа файловой системы, что позволяет получить низкоуровневый доступ к данным на диске. Это может быть использовано для скрытных операций с данными, таких как чтение, запись или модификация важных файлов. Для выполнения атаки атакующий может воспользоваться правами, которые позволяют ему выполнять команды PowerShell. В случае невозможности подтверждения легитимности события следует обратить внимание на учетную запись, с которой был выполнен доступ, и провести дополнительные проверки на наличие признаков атаки.	Defense Evasion (TA0005) Direct Volume Access (T1006)
RV-D-783	Сжатие файлов средствами PowerShell	Данное правило обнаруживает использование командлета Compress-Archive в PowerShell для сжатия файлов и папок. Такое поведение может указывать на подготовку к эксфильтрации данных, поскольку атакующие нередко архивируют файлы перед их передачей. При срабатывании правила необходимо определить, какие файлы были сжаты и кто инициировал выполнение командлета. Если активность выглядит подозрительно или сжаты были критичные файлы, следует начать расследование и при необходимости изолировать хост, чтобы предотвратить возможную утечку данных.	Collection (TA0009) Archive Collected Data (T1560) Archive via Utility (T1560.001)
RV-D-1133	Использование подавления ошибок в PowerShell	Правило нацелено на обнаружение использования параметров подавления ошибок (-ErrorAction SilentlyContinue и аналогичных) при выполнении командлетов PowerShell. Атакующие применяют эти параметры, чтобы скрыть ошибки, предотвратить прерывание выполнения и усложнить анализ активности. Подобное поведение может указывать на попытку маскировки операций, особенно если команда выполняется нетипичным пользователем или в подозрительном контексте.	Defense Evasion (TA0005) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Hide Artifacts (T1564) Ignore Process Interrupts (T1564.011)
RV-D-1135	Внедрение вредоносного агента Exchange	Данное правило направлено на обнаружение создания или модификации транспортных агентов Microsoft Exchange с использованием командлетов PowerShell (Install-TransportAgent или Set-TransportAgent).	Persistence (TA0003) Server Software Component (T1505) Transport Agent (T1505.002)

RV-D-770

Использование хакерской утилиты DSInternals

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе DSInternals. DSInternals — это инструмент для администраторов и аудиторов Active Directory, который позволяет получить доступ к скрытым функциям и данным. Атакующие могут использовать его при атаках на AD и получении информации из него. Данное правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с хакерской утилитой DSInternals в оболочке PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.

Execution (TA0002)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Credential Access (TA0006)
Discovery (TA0007)
OS Credential Dumping (T1003)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Password Policy Discovery (T1201)
Domain or Tenant Policy Modification (T1484)
Steal or Forge Kerberos Tickets (T1558)

RV-D-771

Использование хакерской утилиты nishang

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе nishang.Nishang — это фреймворк, состоящий из набора скриптов, который позволяет использовать PowerShell для обеспечения тестирования на проникновение. Но атакующие также могут использовать его для достижения своих целей. Данное правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с данной утилитой. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.

Initial Access (TA0001)
Execution (TA0002)
Persistence (TA0003)
Defense Evasion (TA0005)
Credential Access (TA0006)
Discovery (TA0007)
Collection (TA0009)
Command and Control (TA0011)
Exfiltration (TA0010)
OS Credential Dumping (T1003)
LSASS Memory (T1003.001)
Security Account Manager (T1003.002)
Data from Local System (T1005)
Obfuscated Files or Information (T1027)
Command Obfuscation (T1027.010)
Exfiltration Over C2 Channel (T1041)
Network Service Discovery (T1046)
Input Capture (T1056)
Keylogging (T1056.001)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
System Information Discovery (T1082)
Account Discovery (T1087)
Web Service (T1102)
Ingress Tool Transfer (T1105)
System Binary Proxy Execution (T1218)
InstallUtil (T1218.004)
Rundll32 (T1218.011)
Boot or Logon Autostart Execution (T1547)
Registry Run Keys / Startup Folder (T1547.001)
Hide Artifacts (T1564)
NTFS File Attributes (T1564.004)
Phishing (T1566)

RV-D-772

Использование хакерской утилиты OWA-Toolkit

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Злоумышленники могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе OWA-Toolkit. OWA-Toolkit — это инструмент, который помогает в атаках на Exchange/Outlook Web Access (OWA). OWA — это веб-интерфейс для доступа к почтовым ящикам и календарям, хранящимся на серверах Exchange. OWA-Toolkit может использоваться для разных целей, таких как подбор паролей к учетным записям OWA, сбор и анализ данных из OWA, копирование глобального адресного списка (GAL) из OWA, выполнение команд на целевых системах через OWA. OWA-Toolkit может использоваться злоумышленниками для получения доступа к конфиденциальной информации, компрометации учетных записей, выполнения дальнейших атак на внутреннюю сеть или обхода защитных механизмов. Правило нацелено на обнаружение модулей и запуск командлетов, связанных с утилитой OWA-Toolkit в оболочке PowerShell.

Initial Access (TA0001)
Execution (TA0002)
Persistence (TA0003)
Collection (TA0009)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Email Collection (T1114)
External Remote Services (T1133)
Archive Collected Data (T1560)

RV-D-773

Использование хакерской утилиты PowerShell-Suit

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Злоумышленники могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PowerShell-Suit. PowerShell-Suite –- это набор инструментов и скриптов, предназначенных для автоматизации и управления системами. Атакующие могут его использовать, так как он имеет множество модулей и затрагивает большое количество техник и тактик, таких как Discovery, Credential Access, Execution, Scripting, Lateral Movement. Правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с хакерской утилитой PowerShell-Suit в оболочке PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.

Execution (TA0002)
Credential Access (TA0006)
Discovery (TA0007)
Lateral Movement (TA0008)
OS Credential Dumping (T1003)
LSASS Memory (T1003.001)
Remote Services (T1021)
Windows Remote Management (T1021.006)
Process Discovery (T1057)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)

RV-D-774

Использование хакерской утилиты PowerShellArsenal

PowerShell - это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Злоумышленники могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PowerShellArsenal. PowerShellArsenal — это модуль PowerShell, который может использоваться для дизассемблирования кода, извлечения данных из памяти, анализа кода .NET, разбора форматов файлов и структур памяти, получения внутренней информации о системе и т.д. Атакующие могут использовать его для достижения своих целей. Данное правило нацелено на обнаружение событий выполнения модулей или запуска командлетов, связанных с хакерской утилитой PowerShellArsenal в оболочке PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.

Execution (TA0002)
Credential Access (TA0006)
Discovery (TA0007)
Lateral Movement (TA0008)
OS Credential Dumping (T1003)
LSASS Memory (T1003.001)
Remote Services (T1021)
Windows Remote Management (T1021.006)
Process Discovery (T1057)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)

RV-D-775

Загрузка файлов с помощью PowerShell

Данное правило направленно на детектирование событий по загрузке файлов с помощью PowerShell. Атакующие могут отправлять жертвам фишинговые письма с PowerShell-скриптом, который скачивает файлы для атаки, не привлекая внимания антивируса. Чтобы предотвратить это, нужно обнаруживать и блокировать модули и командлеты, которые связаны с загрузкой файлов в PowerShell. В случае детектирования данной активности необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено — заблокировать учетную запись и узел, инициировать процесс расследования.

Initial Access (TA0001)
Execution (TA0002)
Lateral Movement (TA0008)
Command and Control (TA0011)
Remote Services (T1021)
SSH (T1021.004)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Ingress Tool Transfer (T1105)
Phishing (T1566)
Spearphishing Link (T1566.002)

RV-D-776

Использование обфускации PowerShell

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. Для того чтобы обойти обнаружение, атакующие используют обфускацию кода. Обфускация кода — это метод, позволяющий затруднить анализ строк и шаблонов в командах и скриптах. Этот тип запутывания может быть включен в команды, выполняемые доставляемыми полезными нагрузками, в том числе в PowerShell. Правило нацелено на обнаружение модулей и запуск командлетов, связанных с обфускацией кода в оболочке PowerShell.

Execution (TA0002)
Defense Evasion (TA0005)
Obfuscated Files or Information (T1027)
Command Obfuscation (T1027.010)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)

RV-D-777

Использование WinApi через PowerShell

Windows API — это набор функций, которые предоставляются системными DLL-файлами, такими как kernel32.dll, user32.dll и другими. Эти функции позволяют работать с операционной системой на низком уровне. PowerShell WinAPI используется для того, чтобы задействовать возможности Windows API в сценариях PowerShell, которые не могут быть реализованы с помощью стандартных командлетов или .NET-классов. Например, с помощью PowerShell WinAPI можно вызывать функции для работы с файлами, реестром, процессами, окнами, сетью и другими аспектами системы. PowerShell WinAPI может использоваться атакующими для выполнения различных атак на компьютеры и сети. Например, с его помощью можно скрывать активность от антивирусов и других средств обнаружения (используя функции для инъекции кода, изменения прав доступа, создания скрытых окон), получать доступ к защищенным данным (используя функции для чтения и записи памяти, дампа паролей, перехвата клавиатурного ввода), а также управлять удаленными системами (используя функции для создания и удаления процессов, открытия и закрытия сессий, отправки и получения сообщений). Правило нацелено на детектирование использования функций WinAPI в оболочке PowerShell или PowerShell-скриптах.

Execution (TA0002)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Obfuscated Files or Information (T1027)
Process Injection (T1055)
Process Injection (T1055)
Portable Executable Injection (T1055.002)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Native API (T1106)

RV-D-778

Использование хакерской утилиты PowerSploit

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PowerSploit.PowerSploit — это набор модулей Microsoft PowerShell, которые могут быть использованы для тестирования на проникновение. Атакующие активно применяют его для проведения кибератак, используя его расширенный функционал. Данное правило нацелено на обнаружение событий по запуску модулей или командлетов, связанных с хакерской утилитой PowerSploit в оболочке PowerShell. В случае детектирования данного инцидента необходимо связаться с ответственным лицом и получить подтверждение легитимности действий. Если подтверждение не будет получено, необходимо заблокировать учетную запись и узел, инициировать процесс расследования.

Execution (TA0002)
Persistence (TA0003)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Credential Access (TA0006)
Discovery (TA0007)
Collection (TA0009)
OS Credential Dumping (T1003)
Data from Local System (T1005)
Direct Volume Access (T1006)
Query Registry (T1012)
Obfuscated Files or Information (T1027)
Indicator Removal from Tools (T1027.005)
Command Obfuscation (T1027.010)
Windows Management Instrumentation (T1047)
Scheduled Task/Job (T1053)
At (T1053.002)
Scheduled Task (T1053.005)
Process Injection (T1055)
Dynamic-link Library Injection (T1055.001)
Input Capture (T1056)
Process Discovery (T1057)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Account Discovery (T1087)
Local Account (T1087.001)
Screen Capture (T1113)
Audio Capture (T1123)
Access Token Manipulation (T1134)
Exploitation for Credential Access (T1212)
File and Directory Permissions Modification (T1222)
Windows File and Directory Permissions Modification (T1222.001)
Domain Trust Discovery (T1482)
Create or Modify System Process (T1543)
Windows Service (T1543.003)
Boot or Logon Autostart Execution (T1547)
Registry Run Keys / Startup Folder (T1547.001)
Security Support Provider (T1547.005)
Unsecured Credentials (T1552)
Credentials in Registry (T1552.002)
Group Policy Preferences (T1552.006)
Credentials from Password Stores (T1555)
Windows Credential Manager (T1555.004)
Steal or Forge Kerberos Tickets (T1558)
Kerberoasting (T1558.003)
Hijack Execution Flow (T1574)
DLL (T1574.001)
Path Interception by PATH Environment Variable (T1574.007)
Path Interception by Search Order Hijacking (T1574.008)
Path Interception by Unquoted Path (T1574.009)
Obtain Capabilities (T1588)
Tool (T1588.002)
Reflective Code Loading (T1620)

RV-D-779

Использование хакерской утилиты PSMapExec

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, в том числе PsMapExec.PsMapExec — это фреймворк для пост-эксплуатации и оценки компрометации среды Active Directory на базе PowerShell. PsMapExec позволяет выполнять различные действия на удаленных компьютерах, используя разные протоколы и методы аутентификации. Данное правило нацелено на обнаружение модулей и запуск командлетов, связанных с хакерской утилитой PsMapExec. В случае обнаружения корреляционного события необходимо связаться с ответственным лицом, получить подтверждение легитимности действий. Если подтверждение не будет получено, необходимо заблокировать учетную запись и узел, инициировать процесс расследования.

Initial Access (TA0001)
Execution (TA0002)
Credential Access (TA0006)
Lateral Movement (TA0008)
Remote Services (T1021)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Valid Accounts (T1078)
Steal or Forge Kerberos Tickets (T1558)
Golden Ticket (T1558.001)
System Services (T1569)

RV-D-780

Использование хакерской утилиты SharpHound

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая обнаружение информации и выполнение кода. На PowerShell написано множество хакерских утилит, одна из которых — SharpHound. SharpHound — это инструмент, который собирает данные из Active Directory в формате JSON для дальнейшего анализа при помощи утилиты BloodHound. BloodHound — это инструмент для разведки Active Directory (AD), который может раскрывать скрытые связи и определять пути атаки в среде AD. Благодаря ему атакующий может построить подробную карту домена со всеми доверительными отношениями, УЗ и объектами. SharpHound, в свою очередь, позволяет собрать необходимую для этого информацию, обладая минимальными правами пользователя. BloodHound позволяет построить маршрут атаки, по которому атакующие смогут быстрее всего добраться до интересующей их цели в домене. В случае обнаружения корреляционного события необходимо связаться с ответственным лицом, получить подтверждение легитимности действий. Если подтверждение не будет получено, необходимо заблокировать учетную запись и узел, инициировать процесс расследования.

Execution (TA0002)
Discovery (TA0007)
Remote System Discovery (T1018)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Account Discovery (T1087)
Local Account (T1087.001)
Domain Trust Discovery (T1482)

RV-D-782

Прямой доступ к диску через PowerShell

Правило отслеживает прямой доступ к логическим томам диска через PowerShell с использованием пути \\.{volume_name} и класса IO.FileStream. Атакующий может использовать эту технику для обхода стандартных механизмов контроля доступа файловой системы, что позволяет получить низкоуровневый доступ к данным на диске. Это может быть использовано для скрытных операций с данными, таких как чтение, запись или модификация важных файлов. Для выполнения атаки атакующий может воспользоваться правами, которые позволяют ему выполнять команды PowerShell. В случае невозможности подтверждения легитимности события следует обратить внимание на учетную запись, с которой был выполнен доступ, и провести дополнительные проверки на наличие признаков атаки.

Defense Evasion (TA0005)
Direct Volume Access (T1006)

RV-D-783

Сжатие файлов средствами PowerShell

Данное правило обнаруживает использование командлета Compress-Archive в PowerShell для сжатия файлов и папок. Такое поведение может указывать на подготовку к эксфильтрации данных, поскольку атакующие нередко архивируют файлы перед их передачей. При срабатывании правила необходимо определить, какие файлы были сжаты и кто инициировал выполнение командлета. Если активность выглядит подозрительно или сжаты были критичные файлы, следует начать расследование и при необходимости изолировать хост, чтобы предотвратить возможную утечку данных.

Collection (TA0009)
Archive Collected Data (T1560)
Archive via Utility (T1560.001)

RV-D-1133

Использование подавления ошибок в PowerShell

Правило нацелено на обнаружение использования параметров подавления ошибок (-ErrorAction SilentlyContinue и аналогичных) при выполнении командлетов PowerShell. Атакующие применяют эти параметры, чтобы скрыть ошибки, предотвратить прерывание выполнения и усложнить анализ активности. Подобное поведение может указывать на попытку маскировки операций, особенно если команда выполняется нетипичным пользователем или в подозрительном контексте.

Defense Evasion (TA0005)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Hide Artifacts (T1564)
Ignore Process Interrupts (T1564.011)

RV-D-1135

Внедрение вредоносного агента Exchange

Данное правило направлено на обнаружение создания или модификации транспортных агентов Microsoft Exchange с использованием командлетов PowerShell (Install-TransportAgent или Set-TransportAgent).

Persistence (TA0003)
Server Software Component (T1505)
Transport Agent (T1505.002)

Была ли полезна эта страница?

Обратная связь