Microsoft Windows Security: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-980	Установлено ПО для удаленного доступа	Атакующие могут использовать легитимное программное обеспечение, маскирующееся под легитимное, для осуществления удаленного управления, получения чувствительной информации или других вредоносных действий. Данное правило обнаруживает установку сервиса, который необходим для фоновой работы ПО для удаленного доступа и возможности подключения к устройству.	Persistence (TA0003) Lateral Movement (TA0008) Command and Control (TA0011) Remote Services (T1021) VNC (T1021.005) External Remote Services (T1133) Remote Access Tools (T1219) Remote Desktop Software (T1219.002)
RV-D-986	Зафиксирована атака типа AS-REP Roasting	В Active Directory-домене практически всегда используется Kerberos как средство аутентификации. Протокол Kerberos выдает ключи доступа или билеты, которые содержат фрагмент данных, зашифрованный с помощью исходного ключа пользователя, полученного из его пароля. Если получить такой ключ, то можно перебрать множество паролей оффлайн, основываясь на этих данных, и таким образом угадать пароль пользователя. На этом принципе основаны атаки Kerberoast и AS-REP Roasting. Принципиальное отличие AS-REP Roasting — это получение этого ключа без аутентификации в Active Directory, для атаки нужно лишь имя уязвимого пользователя и возможность подключения к контроллеру домена. Такая ситуация происходит, потому что параметр userAccountControl пользователя AD может содержать флаг `DONT_REQ_PREAUTH`, который позволяет запросить билет с ключом пользователя без предварительной аутентификации. Этот режим необходим для устаревших устройств, которые не поддерживают аутентификацию через Kerberos, но при этом нуждаются в доступе к ключам.	Initial Access (TA0001) Persistence (TA0003) Privilege Escalation (TA0004) Defense Evasion (TA0005) Credential Access (TA0006) Valid Accounts (T1078) Domain Accounts (T1078.002) Brute Force (T1110) Password Cracking (T1110.002) Steal or Forge Kerberos Tickets (T1558) AS-REP Roasting (T1558.004)
RV-D-988	Атака DCSync	Правило направлено на детектирование выполнения атаки DCSync. DCSync -– атака, позволяющая атакующему выдавать себя за контроллер домена (DC, domain controller) с целью получения учетных данных пользователей для последующего горизонтального перемещения в сети и/или доступа к конфиденциальной информации. В основе атаки лежит механизм, предусмотренный для выполнения репликации данных между контроллерами домена (DC). Правило направлено на детектирование выполнения репликации домена (атаки DCSync) именно от пользовательских учетных записей. Если будет выполняться репликация от машинной учетной записи, то правило это не обнаружит.	Credential Access (TA0006) OS Credential Dumping (T1003) DCSync (T1003.006)
RV-D-993	Попытка дампа процесса LSASS с помощью comsvcs.dll	Атакующий может попытаться получить данные учетных записей, сделав дамп процесса LSASS (Local Security Authority Subsystem Service), в памяти которого хранятся учетные данные пользователей. Для этого может использоваться встроенная библиотека comsvcs.dll и ее функция MiniDump, предназначенная для создания дампов процессов. Правило фиксирует попытку получения дампа, но не свидетельствует о его успешном выполнении.	Credential Access (TA0006) OS Credential Dumping (T1003) LSASS Memory (T1003.001)
RV-D-996	Возможно успешный подбор пароля пользователя	Множественные попытки входа на хост с одного удаленного узла с указанием неверного пароля и удачный вход после этого могут указывать на успешный подбор пароля. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора. Правило выявляет успешную аутентификацию, следующую после множественных неудачных попыток входа по протоколам NTLM и Kerberos на доменных и локальных хостах.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-999	Подозрительный доступ к файлу NTDS.dit	Атакующие для получения данных всех учетных записей в домене могут попробовать получить дамп файла `NTDS.dit`. Данный файл содержит информацию о всех пользователях в домене, включая хэши их паролей. Данное правило позволяет обнаружить подозрительные доступы к файлу `NTDS.dit`, что может свидетельствовать о попытке получения дампа или копирования файла.	Credential Access (TA0006) OS Credential Dumping (T1003) NTDS (T1003.003)
RV-D-1006	Использование средств туннелирования трафика	Средства туннелирования трафика, такие как ngrok, rsockstun, localtonet и другие, активно используются атакующими для организации обратных туннелей и проксирования трафика, позволяя обходить сетевые ограничения и устанавливать устойчивую связь с инфраструктурой управления (C2). Данное правило отслеживает запуск утилит с характерными для запуска обратных туннелей параметрами, например, `-R`.	Defense Evasion (TA0005) Command and Control (TA0011) Proxy (T1090) Protocol Tunneling (T1572) Encrypted Channel (T1573) Network Boundary Bridging (T1599)
RV-D-1008	Подбор пароля учетной записи на хосте	Множественные попытки входа на хост с одного удаленного узла с указанием неверного пароля могут указывать на подбор пароля. Атакующий для получения доступа к учетной записи или хосту может попробовать подобрать пароль методом перебора. Правило обнаруживает на доменном или локальном хосте подбор пароля для учетной записи по протоколам NTLM и Kerberos.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1009	Множественные неудачные попытки аутентификации учетной записи	Для получения доступа к домену атакующий может попробовать подобрать пароль для учетной записи в домене с помощью перебора паролей. Правило обнаруживает множественные попытки проверки учетных данных на доменном контроллере с неверным паролем по протоколам NTLM или Kerberos.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1011	Перечисление учетных записей в домене методом перебора	Для получения информации о существующих учетных записях в домене атакующий может использовать перебор по списку возможных пользователей для последующего перебора паролей. Данное правило обнаруживает перебор учетных записей в домене по протоколам NTLM и Kerberos. В событиях NTLM аутентификации 4776 может не всегда отображаться имя хоста. В этом случае можно посмотреть события 4625 с аналогичной учетной записью в дельту времени или события 4771 с Kerberos-аутентификацией.	Credential Access (TA0006) Discovery (TA0007) Account Discovery (T1087) Domain Account (T1087.002) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1012	Разведка системы при помощи WMI	Данное правило срабатывает в случае возможной разведки системы при помощи WMI. WMI — это функция администрирования, которая позволяет получать доступ к компонентам системы Windows. WMI может быть использован атакующими для выполнения вредоносных команд и полезной нагрузки, а также для сбора информации о системе и перемещения по сети. Разведка системы при помощи WMI может свидетельствовать о действиях атакующего по определению дальнейших векторов атак. Также данная активность может быть ложно-положительной и свидетельствовать о работе легитимного ПО. В случае срабатывания правила необходимо опросить пользователя, ответственного за учетную запись инициатора активности, на предмет выполняемых действий. В случае нелегитимности — заблокировать УЗ инициатора активности.	Discovery (TA0007) Windows Management Instrumentation (T1047) Gather Victim Host Information (T1592) Client Configurations (T1592.004)
RV-D-1014	URL-схема в командной строке процесса	Чтобы избежать обнаружения, атакующий может выполнять команды и запускать исполняемые файлы через "посредника" в виде системных программ. Системные исполняемые файлы зачастую подписаны и могут быть занесены в списки исключений СЗИ (средств защиты информации). Некоторые из них в качестве аргумента могут принимать URL файла, что позволяет атакующему выполнить вредоносный код или команды без их предварительной загрузки на хост. Детектирование опирается на то, что в легитимных целях система не передает URL-адреса указанным программам.	Execution (TA0002) Defense Evasion (TA0005) Command and Scripting Interpreter (T1059) Shared Modules (T1129) User Execution (T1204) Malicious File (T1204.002)
RV-D-1016	Разведка ключей реестра	Правило обнаруживает перечисление ключей реестра, которые могут быть интересны при разведке информации об узле. Данная техника часто используется атакующими на начальном этапе атаки для сбора критически важной информации о системе установленного ПО, параметров безопасности, данных автозагрузки и истории действий пользователя. Полученные сведения позволяют атакующему оценить вектор для дальнейшей эксплуатации. В случае срабатывания правила необходимо опросить пользователя, ответственного за учетную запись инициатора активности, на предмет выполняемых действий. В случае нелегитимности — заблокировать УЗ инициатора активности.	Discovery (TA0007) Query Registry (T1012) System Information Discovery (T1082)
RV-D-1017	Зафиксированы подозрительные операции при помощи WMI	Данное правило детектирует проведение подозрительных операций при помощи WMI. Под подозрительными операциями подразумевается активность, не характерная при обычной работе пользователя. К ним относятся методы PutInstance (метод, который позволяет создавать или обновлять экземпляр существующего класса в репозитории WMI) и ExecMethod (позволяет выполнять метод, экспортированный объектом CIM). При возникновении активности рекомендуется проанализировать смежные события по созданию процессов на предмет подозрительной активности. Данная активность является аномальной и может говорить о попытках атакующего закрепиться на хосте или исполнить вредоносный код. В случае срабатывания данного правила требуется опросить пользователя, ответственного за УЗ инициатора активности, на предмет указанных в событии действий. Если активность не является легитимной, требуется заблокировать УЗ инициатора активности на время инцидента.	Execution (TA0002) Persistence (TA0003) Windows Management Instrumentation (T1047)
RV-D-1018	Создание или изменение сервиса с помощью командной строки	Для закрепления или повышения привилегий в системе атакующий может использовать сервисы. Правило позволяет обнаружить попытку создания сервиса или изменения конфигурации сервиса с помощью системных утилит `sc.exe/wmic.exe/reg.exe`. Использование данных утилит с командами создания или изменения сервисов не является типичным для систем Windows, что может указывать на нелегитимную активность. Данное правило детектирует использование системных утилит с конкретными параметрами, характерными для изменения пути к исполняемым файлам существующих сервисов или создания атакующим нового сервиса в системе. Просмотреть сервисы на хосте можно в оснастке services.msc.	Persistence (TA0003) Privilege Escalation (TA0004) Service Stop (T1489) Hijack Execution Flow (T1574) Services Registry Permissions Weakness (T1574.011)
RV-D-1019	Создан сервис с подозрительными параметрами	Данное правило срабатывает при создании сервиса с нестандартным исполняемым файлом или путем к нему (например, при наличии в пути папки temp, tmp или использовании переменных окружения %temp%), который выполнит сервис при запуске. Исполнение таких параметров в созданных сервисах используется в хакерских инструментах Meterpreter и Cobalt Strike для повышения привилегий. В данном случае функция GetSystem создает сервис с правами System, в который передаются команды посредством named pipe. Named pipe — это канал для обмена данными между инициатором — "сервером" и клиентом. Также данное правило срабатывает при использовании таких утилит, как `smbexec`, `psexec`, так как они используют сервисы для выполнения команд, и при любом использовании командной строки в созданном сервисе.	Execution (TA0002) System Services (T1569) Service Execution (T1569.002)
RV-D-1020	Установлен сервис не из системного/стандартного пути	Для закрепления или повышения привилегий в системе атакующий может использовать сервисы. Правило обнаруживает создание сервиса, у которого исполняемый файл находится не в системном или стандартном пути. Так как у атакующего может не хватать прав на запись исполняемого файла (вредоносного программного обеспечения) в системную директорию, он может использовать любое другое местоположение в файловой системе, а для гарантированного его запуска — применять сервисы. Легитимные сервисы, как правило, располагают исполняемые файлы в системных путях. Просмотреть установленные сервисы и связанные с ними исполняемые файлы можно в оснастке services.msc. Исключения для легитимных путей к файлам указаны в поле `on_event`.	Execution (TA0002) System Services (T1569) Service Execution (T1569.002)
RV-D-1051	Размещение архивов в сетевой папке Windows	Атакующие могут размещать данные, собранные из нескольких систем, в централизованном месте или в каталоге на одной системе перед эксфильтрацией. Данные могут храниться в отдельных файлах или объединяться в один файл с помощью таких методов, как архивирование собранных данных.	Collection (TA0009) Data Staged (T1074) Remote Data Staging (T1074.002) Archive Collected Data (T1560)
RV-D-1052	Поиск данных в сетевых папках Windows	Атакующие могут использовать сетевые ресурсы на скомпрометированных компьютерах, чтобы найти интересующие их файлы для последующего развития атаки.	Collection (TA0009) Data from Network Shared Drive (T1039)
RV-D-1053	Удален объект групповой политики	Групповая политика — это набор параметров для централизованного управления пользователями и компьютерами в домене. Компонентами групповой политики являются контейнер групповой политики и объекты, которые находятся в нем. Атакующий может воспользоваться правами на удаление GPO для обхода политик и выполнения деструктивных действий. Данное правило отслеживает использование прав на удаление объектов или контейнеров групповой политики.	Privilege Escalation (TA0004) Domain or Tenant Policy Modification (T1484) Group Policy Modification (T1484.001)
RV-D-1054	Изменена групповая политика домена по умолчанию	В доменной инфраструктуре Active Directory существуют Default Domain Policy (политика домена по умолчанию) и Default Domain Controllers Policy (политика для доменных контроллеров), у которых по умолчанию есть свой уникальный ID групповой политики. Default Domain Policy содержит в себе базовые политики для домена и имеет уникальный глобальный идентификатор GUID 31b2f340-016d-11d2-945f-00c04fb984f9, по которому можно определить, что это за объект групповой политики. Default Domain Controllers Policy содержит в себе базовые политики для контроллеров домена, GUID — 6AC1786C-016F-11D2-945F-00C04FB984F9. Данное правило обнаруживает попытки редактирования файлов групповой политики. Такие изменения атакующий может использовать для повышения привилегий или закрепления в системе.	Persistence (TA0003) Privilege Escalation (TA0004) Domain or Tenant Policy Modification (T1484) Group Policy Modification (T1484.001) Modify Authentication Process (T1556) Reversible Encryption (T1556.005)
RV-D-1078	Доступ к чувствительному сетевому диску Windows	Атакующие могут использовать сетевые ресурсы на скомпрометированных компьютерах, чтобы найти интересующие их файлы. При срабатывании данного правила корреляции необходимо посмотреть время срабатывания, пользователя и критичность сетевого диска.	Collection (TA0009) Data from Network Shared Drive (T1039)
RV-D-1079	Изменение запланированной задачи в групповой политике	Для повышения привилегий и закрепления в системе атакующий может использовать объекты групповых политик. Объекты групповых политик — это контейнеры с параметрами групповой политики, состоящие из файлов, которые хранятся по сетевому пути `\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\` или локально на доменном контроллере по пути `C:\Windows\SYSVOL\domain\Policies`. Для этого атакующий может изменить или создать файл групповой политики, чтобы исполнить вредоносную команду/код. В данном правиле отслеживаются изменение или создание запланированной задачи в групповой политике по сетевому пути.	Privilege Escalation (TA0004) Domain or Tenant Policy Modification (T1484) Group Policy Modification (T1484.001)
RV-D-1080	Поиск учетных данных в групповых политиках	Данное правило направлено на детектирование атаки, связанной с поиском файлов групповых политик, содержащих конфиденциальную информацию. Атакующий может использовать команды, такие как `findstr` или `Get-GPPPassword`, для поиска XML-файлов в папке SYSVOL, где могут храниться настройки групповых политик, включая зашифрованные пароли. Успешная эксплуатация позволяет извлечь данные, которые могут быть использованы для дальнейшего распространения по сети, повышения привилегий или доступа к другим системам. В случае срабатывания правила необходимо получить разъяснения о причине данной активности от лица, ответственного за учетную запись. В случае отсутствия обратной связи — заблокировать учетную запись сотрудника, заблокировать узел, с которого произошел запрос, и провести внутреннее расследование.	Credential Access (TA0006) Unsecured Credentials (T1552) Group Policy Preferences (T1552.006)
RV-D-1091	Чтение процесса LSASS от подозрительного процесса	Атакующий может попытаться получить данные других учетных записей с помощью дампа системного процесса LSASS (Local Security Authority Subsystem Service), который хранит в своей памяти учетные данные авторизованных пользователей на узле. Данное правило обнаруживает предоставление доступа на чтение процесса LSASS подозрительным процессам. Существует системное/легитимное ПО, которое обращается к процессу LSASS с правами на чтение. Данные процессы внесены в исключения в поле `on_event`. В исключения входят `taskmgr.exe` (диспетчер задач), который при запуске запрашивает доступ на чтение lsass, утилиты из набора Microsoft Sysinternals, например, Process Explorer, Process Monitor, Autoruns. Правило не свидетельствует о фактическом удачном дампе процесса, а указывает на получение доступа от подозрительного или нестандартного для Windows процесса.	Credential Access (TA0006) OS Credential Dumping (T1003) LSASS Memory (T1003.001)
RV-D-1092	Закрепление в директорию автозагрузки	Атакующий, с целью закрепления, может добавить ВПО в директории автозапуска. Указанная активность позволит потенциальному ВПО запускаться каждый раз при включении системы. Данная активность является аномальной и может свидетельствовать об активности ВПО.	Persistence (TA0003) Boot or Logon Autostart Execution (T1547) Registry Run Keys / Startup Folder (T1547.001)
RV-D-1093	Закрепление в Print Processors через подозрительную DLL	Служба очереди печати (`spoolsv.exe`) работает за счет DLL-библиотек, которые загружаются во время загрузки ПК, и атакующие злоупотребляют ими, выполняя свои DLL во время загрузки. Одним из способов добавления DLL является добавление нужной DLL по определенному пути файловой системы.	Persistence (TA0003) Privilege Escalation (TA0004) Boot or Logon Autostart Execution (T1547) Print Processors (T1547.012)
RV-D-1094	Очистка истории команд PowerShell в Windows	Данное правило направлено на детектирование подозрительных действий, связанных с использованием техники очистки истории команд PowerShell, которая позволяет атакующему скрывать следы своей активности, удаляя или предотвращая сохранение выполненных команд. Такое поведение является аномальным для стандартной работы пользователей и может указывать на попытку атакующего замаскировать свои действия в системе. Обнаружение осуществляется на основании использования ключевых команд PowerShell, таких как Clear-History, Remove-Item, с обращением к файлу истории или изменения параметров Set-PSReadlineOption.	Defense Evasion (TA0005) Indicator Removal (T1070) Clear Command History (T1070.003)
RV-D-1095	Добавление файла в директорию расширения браузера	Данное правило направлено на обнаружение подозрительных действий, связанных с добавлением файлов в директорию расширений браузера. Такие действия могут быть использованы атакующими для установки вредоносных или нежелательных расширений, которые могут изменять поведение браузера, собирать конфиденциальные данные пользователя или выполнять другие вредоносные операции.	Persistence (TA0003) Software Extensions (T1176) Browser Extensions (T1176.001) Browser Information Discovery (T1217)
RV-D-1096	Удаленная эксплуатация DCOM-объекта Excel.Application	Правило детектирует удаленный запуск процессов с помощью DCOM. После получения первоначального доступа атакующий может начать горизонтальное перемещение по инфраструктуре. C помощью объектов Excel.Application атакующий может скрытно выполнять вредоносный код через автоматические макросы Excel.	Lateral Movement (TA0008) Remote Services (T1021) Distributed Component Object Model (T1021.003)
RV-D-1107	Регистрация вредоносного Password Filter	Пакеты уведомлений LSA (Notification Packages) являются критически важным компонентом подсистемы аутентификации Windows, отвечающим за проверку и обработку паролей в доменной среде. Эти пакеты, представляющие собой динамические библиотеки (DLL), загружаются процессом Local Security Authority (LSA) при запуске системы и получают доступ к учетным данным пользователей в момент их изменения. Легитимно используются для реализации расширенных политик сложности паролей.	Persistence (TA0003) Modify Authentication Process (T1556) Password Filter DLL (T1556.002)
RV-D-1119	Включение функции обратимого шифрования	Обратимое шифрование паролей является альтернативным методом хранения учетных данных в Active Directory, при котором пароли сохраняются с использованием двустороннего алгоритма шифрования вместо криптостойких хэшей. В отличие от стандартного хэширования NTLM, данный метод позволяет восстановить исходные пароли в открытом виде при наличии соответствующих ключей дешифрования.	Persistence (TA0003) Credential Access (TA0006) Credentials from Password Stores (T1555) Modify Authentication Process (T1556) Reversible Encryption (T1556.005) Impair Defenses (T1562)
RV-D-1125	Включено обратимое шифрование паролей	В Active Directory по умолчанию пароли хранятся в виде необратимых хэшей (NTLM), что обеспечивает базовую защиту даже при компрометации базы данных. В системе существует механизм обратимого шифрования паролей (Reversible Encryption), предназначенный для обратной совместимости с устаревшими приложениями, которые требуют доступа к паролю в открытом виде. Это позволяет атакующему, получившему доступ к данным домена, легко расшифровать пароли пользователей.	Persistence (TA0003) Defense Evasion (TA0005) Credential Access (TA0006) Valid Accounts (T1078) Account Manipulation (T1098) Domain or Tenant Policy Modification (T1484) Use Alternate Authentication Material (T1550) Unsecured Credentials (T1552) Modify Authentication Process (T1556) Reversible Encryption (T1556.005) Steal or Forge Kerberos Tickets (T1558)
RV-D-1127	Выполнение прокси-файла через verclsid	Verclsid.exe — легитимная утилита проверки COM-объектов, предназначенная для регистрации и верификации CLSID через COM-инфраструктуру. Эта утилита может выполнять произвольный код из DLL-файлов, указанных в качестве COM-серверов, что позволяет атакующему обойти механизмы контроля приложений, маскируя выполнение вредоносной нагрузки под подписанный системный процесс.	Execution (TA0002) Defense Evasion (TA0005) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Windows Command Shell (T1059.003) System Binary Proxy Execution (T1218) Verclsid (T1218.012)
RV-D-1128	Подозрительное чтение данных приложений	Большинство браузеров и некоторые приложения для обмена сообщениями хранят учетные данные, cookie-файлы, историю просмотров и конфигурации в локальных директориях профиля пользователя (например, AppData в Windows). Эти директории часто становятся первой целью атакующих для разведки (T1217 Browser Information Discovery). Данное правило отслеживает обращение к файлам, где хранятся учетные данные или другие чувствительные данные в хранилищах браузеров и приложений, с целью выявления подозрительных операций чтения.	Discovery (TA0007) Browser Information Discovery (T1217)
RV-D-1129	Установка пакетов msi из пользовательской директории	Атакующие могут встроить вредоносный код (скрипты или бинарные файлы) в установочные пакеты программ, и при установке легитимного приложения этот код запускается автоматически, нередко с повышенными правами. В операционных системах семейства Windows в качестве установочных пакетов чаще всего используются файлы формата `.msi`. Правило позволяет обнаруживать установку MSI-пакетов из пользовательских или временных директорий.	Privilege Escalation (TA0004) Defense Evasion (TA0005) System Binary Proxy Execution (T1218) Msiexec (T1218.007) Event Triggered Execution (T1546) Installer Packages (T1546.016)
RV-D-1134	Создание правил почты через PowerShell	Данное правило направлено на обнаружение создания или модификации правил почтовых ящиков (InboxRule) или транспортных правил (TransportRule) с использованием командлетов PowerShell. Эти правила являются штатными функциями Microsoft Exchange, предназначенными для автоматической обработки и маршрутизации сообщений. Атакующий изменяет или добавляет их с целью скрытой пересылки конфиденциальных данных, автоматического удаления предупреждений систем безопасности или сокрытия следов своей деятельности.	Execution (TA0002) Defense Evasion (TA0005) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Hide Artifacts (T1564) Email Hiding Rules (T1564.008)
RV-D-1136	Построение образа в Windows	Правило обнаруживает команды для построения образа контейнера, используемые, чтобы обойти защиту от получения вредоносных образов из общедоступных реестров.	Defense Evasion (TA0005) Build Image on Host (T1612)
RV-D-1146	Изменение атрибутов групповой политики	Правило отслеживает изменение атрибутов элементов групповой политики (GPO). При модификации GPO могут изменяется атрибуты gPCMachineExtensionNames (определяет действия GPO в контексте компьютера), gPCUserExtensionNames (определяет действия GPO в контексте пользователя), gPCFileSysPath (указывает на папку, связанную с объектом групповой политики). Значение данных атрибутов обновляется при изменении объектов групповой политики. Атакующий может изменять объекты GPO для закрепления или повышения привилегий, изменяя задачи планировщика, ключи реестра, элементы автозагрузки и другие параметры. Для проведения атаки требуется учетная запись, которая имеет необходимые привилегии для изменения GPO.	Privilege Escalation (TA0004) Domain or Tenant Policy Modification (T1484) Group Policy Modification (T1484.001)
RV-D-1148	Удаление доменной\локальной\компьютерной учетной записи	После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи или поддержание шелла для вторичного доступа в систему. После выполнения злонамеренных действий атакующий может попытаться удалить учетную запись, чтобы скрыть свои следы. Таким образом, данным правилом определяется удаление доменной\локальной\компьютерной учетной записи от подозрительной учетной записи.	Persistence (TA0003) Account Manipulation (T1098) Create Account (T1136) Local Account (T1136.001) Domain Account (T1136.002)
RV-D-1149	Добавление пользователя в критичные доменные группы	После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи или поддержание шелла для вторичного доступа в систему. Чтобы можно было выполнять какие-либо действия под новой учетной записью, в том числе подключаться удаленно, нужно предоставить права для этих действий этой учетной записи. Для этого атакующий может попробовать добавить учетную запись в доменные группы, которые предоставляют необходимый доступ. Кроме того, наличие уязвимости в продукте VMware ESXi позволяет автоматически получать административный доступ к ESXi-гипервизорам, подключенным к Active Directory. Для этого атакующему достаточно добавить любого доменного пользователя в доменную группу ESX Admins, что делает важным отслеживание любых добавлений пользователей в данную группу.	Persistence (TA0003) Account Manipulation (T1098) Additional Local or Domain Groups (T1098.007)
RV-D-1150	Создание новой доменной\локальной\компьютерной учетной записи	После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи или поддержание шелла для вторичного доступа в систему. Таким образом, данным правилом определяется создание новой доменной\локальной\компьютерной учетной записи от подозрительной учетной записи.	Persistence (TA0003) Account Manipulation (T1098) Create Account (T1136) Local Account (T1136.001) Domain Account (T1136.002)
RV-D-1151	Изменение SPN учетной записи	Service Principal Name (SPN) — это уникальный идентификатор, который используется Kerberos для идентификации сервиса. Атакующий может попытаться изменить SPN для обхода различных механизмов аутентификации. Изменение данного атрибута может помочь атакующему провести репликацию данных между контроллерами домена (атаки DCSync и DCShadow) или получить доступ к билету Kerberos целевой учетной записи (атака Kerberoasting). Для проведения атаки атакующему требуются права, эквивалентные правам администратора домена. Правило детектирует наличие в измененном SPN объекта Global Catalog (GC), не являющегося DC, а также изменение SPN-аккаунта пользователя.	Privilege Escalation (TA0004) Account Manipulation (T1098)
RV-D-1153	Создание и удаление учетной записи за одну минуту	После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использования скомпрометированных учетных записей и шелла для повторного доступа. Атакующий или вредоносное программное обеспечение для большей конспирации может создать учетную запись, выполнить вредоносное действие под ней и сразу же ее удалить. Таким образом, данным правилом определяется создание новой доменной\локальной учетной записи и последующее ее удаление в течение минуты.	Persistence (TA0003) Account Manipulation (T1098) Create Account (T1136) Local Account (T1136.001) Domain Account (T1136.002)
RV-D-1160	Создана пользовательская форма Outlook	Формы Outlook -– это возможность создания и использования пользовательских форм в Microsoft Outlook для управления информацией и данными. Атакующий может создать пользовательские формы Outlook, которые будут выполнять код при отправке специально созданного сообщения электронной почты, использующего ту же пользовательскую форму Outlook.	Persistence (TA0003) Office Application Startup (T1137) Outlook Forms (T1137.003)
RV-D-1161	Изменение настроек Outlook	Атакующие могут изменять критические настройки Microsoft Outlook через утилиту reg.exe или прямые записи в реестр Windows, чтобы обойти встроенные механизмы защиты почтового клиента. Используя изменение таких параметров, как включение «небезопасных» правил обработки почты, установка произвольных URL-адресов домашней страницы, автозапуск макросов и понижение уровня безопасности.	Persistence (TA0003) Defense Evasion (TA0005) Modify Registry (T1112) Office Application Startup (T1137) Office Template Macros (T1137.001) Outlook Home Page (T1137.004) Outlook Rules (T1137.005)
RV-D-1162	Маскировка учетной записи под имя компьютера	После получения доступа к корпоративной сети атакующий может закрепиться в системе, создав новую учетную запись. Это позволяет отказаться от использования скомпрометированных учетных записей и поддержания постоянного шелла для повторного доступа. Для маскировки может быть создана учетная запись (далее — УЗ), внешне похожая на компьютерную, отличительным признаком которой является символ `$` в конце имени. Данное правило выявляет создание или изменение доменной или локальной учетной записи, замаскированной под компьютерную учетную запись.	Persistence (TA0003) Defense Evasion (TA0005) Masquerading (T1036) Masquerade Account Name (T1036.010) Create Account (T1136) Local Account (T1136.001)
RV-D-1165	Включение или отключение учетной записи	После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе. Для этого ему требуется доступ к учетной записи. Чтобы не создавать новую учетную запись, атакующий может включить уже существующую учетную запись и после совершения атаки отключить ее. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи, что маскирует выполняемые действия. Таким образом, данным правилом определяется включение и отключение доменной\локальной учетной записи.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1168	Изменения в планировщике задач	Task Scheduler или Планировщик задач — служба в Windows, которая позволяет автоматизированно выполнять запланированные задачи на устройстве по заранее заданному триггеру: время, наступление определенного события и другие. Данная служба удобна для атакующего тем, что запланированные задачи являются легитимными в операционной системе Windows. Это позволяет замаскировать вредоносные действия, а сам функционал планировщика задач не будет отключен администраторами, так как на нем строится работа всей системы. Данное правило направлено на детектирование внесения изменений в службу Task Scheduler с помощью инструментов, основанных на специальном API для работы с задачами.	Execution (TA0002) Persistence (TA0003) Scheduled Task/Job (T1053) At (T1053.002) Scheduled Task (T1053.005)
RV-D-1175	Аномальное поведение офисного ПО	Данное правило направлено на детектирование подозрительных действий, связанных с использованием офисных приложений (например, Microsoft Word, Excel или PowerPoint), которые являются аномальными для их стандартного поведения. Такое поведение может указывать на попытку атакующего эксплуатировать макросы, вставлять вредоносный код или инициировать запуск внешних исполняемых файлов. Детект выполняется при создании потока в процессах офисных приложений или запуска от их имени файлов, расширение которых не является для них нормой, например, `.exe`, `.bat` и другие. Успешная эксплуатация позволяет атакующему получить доступ к критически важным данным, что может быть использовано для дальнейшего продвижения по сети, повышения привилегий или компрометации систем.	Privilege Escalation (TA0004) Process Injection (T1055) Thread Execution Hijacking (T1055.003)
RV-D-1181	Интерактивный вход под сервисной учетной записью	Сервисная учетная запись, предназначенная для автоматизации задач, часто имеет доступ к важным данным и потенциально может иметь особые привилегии (права администратора). Поэтому важно отслеживать активность данных учетных записей. Интерактивный вход под такой учетной записью является необычной активностью. Они не персонализированы, и обычные пользователи не работают из-под них. Интерактивный вход может указывать на взлом учетной записи. Обнаружение активности требует внесения полного перечня сервисных учетных записей в активный список `service_account_list_cimv2`.	Initial Access (TA0001) Valid Accounts (T1078)
RV-D-1184	Вход под учетной записью, созданной по умолчанию	Правило предназначено для выявления входов в систему с использованием локальных учетных записей, создаваемых по умолчанию. В перечень таких учетных записей входят: Administrator, Guest, Local Service, DefaultAccount, WDAGUtilityAccount и Network Service. Активность, выполняемая под данными учетными записями, требует контроля, поскольку в штатной конфигурации они, как правило, отключены, а вход под ними не считается нормальной практикой.	Initial Access (TA0001) Valid Accounts (T1078) Default Accounts (T1078.001)
RV-D-1185	Манипуляции с теневыми копиями с помощью встроенных утилит	Для затруднения автоматического восстановления данных в системе атакующий может удалить или изменить теневые копии на Windows Server, что сделает их недоступными. Правило позволяет обнаружить удаление, изменение, отключение теневых копий с использованием встроенных утилит и команд `wmic`, `vssadmin`, `wbadmin`, `diskshadow` или отключение режима авто-восстановления при загрузке системы с помощью встроенной утилиты `bcdedit.exe`, что часто используют атакующие одновременно с удалением резервных копий. Данное правило направлено на обнаружение в командной строке запуска упомянутых утилит с параметрами, позволяющими манипулировать теневыми копиями.	Impact (TA0040) Inhibit System Recovery (T1490)
RV-D-1205	Новый сертификат root был установлен средствами Certutil.exe	Обнаружено выполнение утилиты `Certutil.exe` с флагом `addstor` для установки нового сертификата системы. Атакующие могут установить корневой сертификат на взломанную систему, чтобы избежать предупреждений при подключении к контролируемым веб-серверам. Корневые сертификаты являются частью инфраструктуры открытых ключей (PKI) и используются для проверки подлинности сертификатов удостоверяющих центров (ЦС). Если атакующий установит свой собственный корневой сертификат на целевой системе, то затем сможет подделывать сертификаты для любых веб-сайтов или служб без предупреждения или обнаружения со стороны браузера или клиента.	Defense Evasion (TA0005) Subvert Trust Controls (T1553) Install Root Certificate (T1553.004)
RV-D-1207	Удаленное выполнение команд с помощью SMBExec	Правило обнаруживает последовательность событий, которая указывает на использование утилиты для горизонтального перемещения и удаленного выполнения команд SMBExec из набора Impacket. Impacket — это набор утилит на Python, которые используют различные сетевые протоколы Windows для выполнения команд на удаленных системах. При использовании Smbexec для исполнения команд на удаленной системе происходит подключение к общей доступной папке с помощью протокола Smb (Server Message Block). Далее создается новый сервис, после чего исполняются заданные команды с правами созданного сервиса.	Execution (TA0002) Persistence (TA0003) Lateral Movement (TA0008) Remote Services (T1021) SMB/Windows Admin Shares (T1021.002) Create or Modify System Process (T1543) Windows Service (T1543.003) System Services (T1569) Service Execution (T1569.002) Lateral Tool Transfer (T1570)
RV-D-1216	Подгрузка подозрительного пакета процессом LSA	Правило выявляет загрузку процессом LSA пакетов аутентификации, не относящихся к стандартному набору, используемому в штатной работе операционной системы, например, пакетов, загружаемых из нестандартного пути. Такая активность может указывать на попытку внедрения стороннего кода в процесс LSA с целью получения доступа к учетным данным для повышения привилегий.	Persistence (TA0003) Privilege Escalation (TA0004) Boot or Logon Autostart Execution (T1547) Security Support Provider (T1547.005)
RV-D-1220	Атака DCShadow	DCShadow — это метод манипулирования объектами AD путем регистрации поддельного DC и моделирования необходимого поведения. При регистрации DC для узла добавляется атрибут SPN с неизменяемым GUID E3514235-4B06-11D1-AB04-00C04FC2DCD2. Атрибут определяет хост, с которым DC может проводить репликацию. После регистрации атакующий может внедрять и реплицировать изменения в инфраструктуру AD для любого объекта домена. Для проведения атаки требуются привилегии администратора домена. Правило отслеживает добавление узлу атрибута SPN, соответствующего GUID, и событие репликации DC c данным узлом.	Defense Evasion (TA0005) Rogue Domain Controller (T1207)
RV-D-1234	Извлечение cab-файлов через Wusa.EXE	Атакующие используют `wusa.exe` с параметром `/extract` как LOLBin для распаковки CAB-архивов из пользовательских или временных директорий без применения сторонних утилит, что помогает обходить контроль запуска ПО и снижать заметность активности. Риск заключается в скрытой доставке и извлечении вредоносных компонентов (DLL, EXE, скриптов) в доверенном контексте системной утилиты с последующим выполнением, что затрудняет обнаружение и может привести к компрометации хоста. Данное правило обнаруживает запуск утилиты `wusa.exe` с аргументом `/extract` из подозрительных путей.	Execution (TA0002) System Binary Proxy Execution (T1218)
RV-D-1247	Атака Pass the Hash	Данное правило направлено на обнаружение подозрительных действий, связанных с использованием техники Pass-the-Hash (PtH), которая позволяет атакующему аутентифицироваться в системе, применяя NTLM-хэш пароля вместо его ввода. Такое поведение является аномальным для стандартных сценариев аутентификации и может указывать на попытку атакующего получить доступ к системам без знания пароля учетной записи. Обнаружение выполняется при анализе событий входа или при выполнении PowerShell-скриптов. Успешная эксплуатация PtH может привести к несанкционированному доступу к критически важным данным, использованию привилегированных учетных записей и дальнейшему продвижению атакующего в инфраструктуре.	Defense Evasion (TA0005) Use Alternate Authentication Material (T1550) Pass the Hash (T1550.002)
RV-D-1257	Атака Kerberoasting	Kerberoasting нацелен на получение билетов TGS, ассоциированных с пользовательскими учетными записями в Active Directory (AD). Для шифрования этих билетов используются сервисные ключи, полученные из паролей сервисных пользователей. Таким образом, методом подбора можно взломать пароль сервисной учетной записи в автономном режиме.	Credential Access (TA0006) Steal or Forge Kerberos Tickets (T1558) Kerberoasting (T1558.003)
RV-D-1262	Копирование веток реестра, содержащих хэши паролей	Данное правило направлено на обнаружение подозрительных действий, связанных с использованием техники OS Credential Dumping, которая позволяет атакующим извлекать учетные данные (логины и пароли) из операционных систем. Правило детектирует два случая копирования веток реестра — это эксплуатация уязвимостей в Security Account Manager (SAM) и Local Security Authority (LSA) Secrets. SAM хранит хэши паролей пользователей, что делает его целью для атакующих. Из LSA атакующий может получить пароль учетной записи, от имени которой запускается какой-либо сервис, и учетные данные компьютерной учетной записи. Захват хэшей паролей позволяет атакующему впоследствии производить атаки на подбор паролей в оффлайн-режиме, расшифровать хэши и получить доступ к учетным записям пользователей.	Credential Access (TA0006) OS Credential Dumping (T1003) Security Account Manager (T1003.002) LSA Secrets (T1003.004)
RV-D-1265	Удаленный запуск процесса с помощью WMI	Правило обнаруживает удаленный запуск процессов с помощью WMI (wmiexec + wmic). После получения первоначального доступа атакующий начинает горизонтальное перемещение по корпоративной сети жертвы. Одной из популярных утилит для этих целей является WMIExec из пакета Impacket или встроенная в Windows утилита wmic, которая предназначена для удаленного администрирования и позволяет запускать процессы, используя систему удаленного управления сервисами и передачи файлов.	Lateral Movement (TA0008) Remote Services (T1021)
RV-D-1274	Вход с разных хостов на один хост под одной учетной записью	Правило обнаруживает авторизацию пользователя на одном узле с разных хостов за короткий промежуток времени. Данное поведение является аномальным, атакующий может попытаться зайти на узел с разных хостов для горизонтального перемещения в информационной системе.	Initial Access (TA0001) Valid Accounts (T1078)
RV-D-1277	Добавление пользователя в критичные локальные группы	После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи или поддержания подключения для вторичного доступа в систему. Чтобы можно было выполнять какие-либо действия под новой учетной записью, в том числе подключаться удаленно, нужно назначить права на выполнение этих действий для этой учетной записи. Для этого атакующий может попробовать добавить учетную запись в локальные группы, которые предоставляют необходимый доступ.	Persistence (TA0003) Account Manipulation (T1098) Additional Local or Domain Groups (T1098.007)
RV-D-1278	Вход под несуществующим пользователем	Правило предназначено для детектирования попыток входа под логином несуществующей учетной записи при доменной авторизации. Оно позволяет зафиксировать подозрительную активность или попытку несанкционированного доступа в информационную систему.	Initial Access (TA0001) Valid Accounts (T1078)
RV-D-1281	Вход на устройство под разными учетными записями	Правило детектирует множество подключений под разными учетными записями (УЗ) к одному узлу за 120 секунд. Атакующий может получить доступ к нескольким УЗ с разными привилегиями и подключаться под ними к одному известному ему устройству.	Initial Access (TA0001) Valid Accounts (T1078)
RV-D-1284	Атака Password Spraying	Для получения доступа к домену атакующий может попробовать подобрать пароль для учетной записи в домене с помощью перебора одного или нескольких паролей одновременно для нескольких пользователей. Данный метод является менее заметным, так как происходит несколько попыток входа на одну учетную запись, что предотвращает ее блокировку. Правило обнаруживает распыление паролей для подбора учетных данных по NTLM и Kerberos с ошибкой `неверный пароль` для разных УЗ с одного хоста. В событиях NTLM аутентификации 4776 может не всегда отображаться имя хоста, в этом случае можно посмотреть события 4625 с аналогичной учетной записью в дельту времени или события 4771 с Kerberos аутентификацией.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003) Credential Stuffing (T1110.004)
RV-D-1285	Вход под учетной записью администратора	Правило предназначено для обнаружения входов в систему с использованием учетных записей администраторов. Учетные записи с повышенными привилегиями, подлежащие усиленному мониторингу, перечислены в списке `privileged_users_and_hosts`.	Initial Access (TA0001) Valid Accounts (T1078)
RV-D-1286	Вход на несколько узлов под одной учетной записью	Правило предназначено для обнаружения входов одного пользователя на различные узлы в ограниченный промежуток времени. Такая активность может быть характерна для атакующего, который получил доступ к учетной записи пользователя и использует ее для горизонтального перемещения.	Initial Access (TA0001) Valid Accounts (T1078) Domain Accounts (T1078.002)
RV-D-1287	Несистемный процесс повысил привилегии до системы	Правило обнаруживает создание процесса с SYSTEM-правами от пользовательского процесса. Это возможно при эксплуатации уязвимостей, связанных с получением системного токена, например, уязвимостей типа Potato. Полученный токен далее используется для создания процесса от пользователя SYSTEM через API-вызовы CreateProcessAsUser, CreateProcessWithToken. Детектирование построено на том, что процесс атакующего, изначально не имеющий системных прав, порождает процесс от пользователя SYSTEM.	Privilege Escalation (TA0004) Access Token Manipulation (T1134)

RV-D-980

Установлено ПО для удаленного доступа

Атакующие могут использовать легитимное программное обеспечение, маскирующееся под легитимное, для осуществления удаленного управления, получения чувствительной информации или других вредоносных действий. Данное правило обнаруживает установку сервиса, который необходим для фоновой работы ПО для удаленного доступа и возможности подключения к устройству.

Persistence (TA0003)
Lateral Movement (TA0008)
Command and Control (TA0011)
Remote Services (T1021)
VNC (T1021.005)
External Remote Services (T1133)
Remote Access Tools (T1219)
Remote Desktop Software (T1219.002)

RV-D-986

Зафиксирована атака типа AS-REP Roasting

В Active Directory-домене практически всегда используется Kerberos как средство аутентификации. Протокол Kerberos выдает ключи доступа или билеты, которые содержат фрагмент данных, зашифрованный с помощью исходного ключа пользователя, полученного из его пароля. Если получить такой ключ, то можно перебрать множество паролей оффлайн, основываясь на этих данных, и таким образом угадать пароль пользователя. На этом принципе основаны атаки Kerberoast и AS-REP Roasting. Принципиальное отличие AS-REP Roasting — это получение этого ключа без аутентификации в Active Directory, для атаки нужно лишь имя уязвимого пользователя и возможность подключения к контроллеру домена. Такая ситуация происходит, потому что параметр userAccountControl пользователя AD может содержать флаг DONT_REQ_PREAUTH, который позволяет запросить билет с ключом пользователя без предварительной аутентификации. Этот режим необходим для устаревших устройств, которые не поддерживают аутентификацию через Kerberos, но при этом нуждаются в доступе к ключам.

Initial Access (TA0001)
Persistence (TA0003)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Credential Access (TA0006)
Valid Accounts (T1078)
Domain Accounts (T1078.002)
Brute Force (T1110)
Password Cracking (T1110.002)
Steal or Forge Kerberos Tickets (T1558)
AS-REP Roasting (T1558.004)

RV-D-988

Атака DCSync

Правило направлено на детектирование выполнения атаки DCSync. DCSync -– атака, позволяющая атакующему выдавать себя за контроллер домена (DC, domain controller) с целью получения учетных данных пользователей для последующего горизонтального перемещения в сети и/или доступа к конфиденциальной информации. В основе атаки лежит механизм, предусмотренный для выполнения репликации данных между контроллерами домена (DC). Правило направлено на детектирование выполнения репликации домена (атаки DCSync) именно от пользовательских учетных записей. Если будет выполняться репликация от машинной учетной записи, то правило это не обнаружит.

Credential Access (TA0006)
OS Credential Dumping (T1003)
DCSync (T1003.006)

RV-D-993

Попытка дампа процесса LSASS с помощью comsvcs.dll

Атакующий может попытаться получить данные учетных записей, сделав дамп процесса LSASS (Local Security Authority Subsystem Service), в памяти которого хранятся учетные данные пользователей. Для этого может использоваться встроенная библиотека comsvcs.dll и ее функция MiniDump, предназначенная для создания дампов процессов. Правило фиксирует попытку получения дампа, но не свидетельствует о его успешном выполнении.

Credential Access (TA0006)
OS Credential Dumping (T1003)
LSASS Memory (T1003.001)

RV-D-996

Возможно успешный подбор пароля пользователя

Множественные попытки входа на хост с одного удаленного узла с указанием неверного пароля и удачный вход после этого могут указывать на успешный подбор пароля. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора. Правило выявляет успешную аутентификацию, следующую после множественных неудачных попыток входа по протоколам NTLM и Kerberos на доменных и локальных хостах.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-999

Подозрительный доступ к файлу NTDS.dit

Атакующие для получения данных всех учетных записей в домене могут попробовать получить дамп файла NTDS.dit. Данный файл содержит информацию о всех пользователях в домене, включая хэши их паролей. Данное правило позволяет обнаружить подозрительные доступы к файлу NTDS.dit, что может свидетельствовать о попытке получения дампа или копирования файла.

Credential Access (TA0006)
OS Credential Dumping (T1003)
NTDS (T1003.003)

RV-D-1006

Использование средств туннелирования трафика

Средства туннелирования трафика, такие как ngrok, rsockstun, localtonet и другие, активно используются атакующими для организации обратных туннелей и проксирования трафика, позволяя обходить сетевые ограничения и устанавливать устойчивую связь с инфраструктурой управления (C2). Данное правило отслеживает запуск утилит с характерными для запуска обратных туннелей параметрами, например, -R.

Defense Evasion (TA0005)
Command and Control (TA0011)
Proxy (T1090)
Protocol Tunneling (T1572)
Encrypted Channel (T1573)
Network Boundary Bridging (T1599)

RV-D-1008

Подбор пароля учетной записи на хосте

Множественные попытки входа на хост с одного удаленного узла с указанием неверного пароля могут указывать на подбор пароля. Атакующий для получения доступа к учетной записи или хосту может попробовать подобрать пароль методом перебора. Правило обнаруживает на доменном или локальном хосте подбор пароля для учетной записи по протоколам NTLM и Kerberos.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1009

Множественные неудачные попытки аутентификации учетной записи

Для получения доступа к домену атакующий может попробовать подобрать пароль для учетной записи в домене с помощью перебора паролей. Правило обнаруживает множественные попытки проверки учетных данных на доменном контроллере с неверным паролем по протоколам NTLM или Kerberos.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1011

Перечисление учетных записей в домене методом перебора

Для получения информации о существующих учетных записях в домене атакующий может использовать перебор по списку возможных пользователей для последующего перебора паролей. Данное правило обнаруживает перебор учетных записей в домене по протоколам NTLM и Kerberos. В событиях NTLM аутентификации 4776 может не всегда отображаться имя хоста. В этом случае можно посмотреть события 4625 с аналогичной учетной записью в дельту времени или события 4771 с Kerberos-аутентификацией.

Credential Access (TA0006)
Discovery (TA0007)
Account Discovery (T1087)
Domain Account (T1087.002)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1012

Разведка системы при помощи WMI

Данное правило срабатывает в случае возможной разведки системы при помощи WMI. WMI — это функция администрирования, которая позволяет получать доступ к компонентам системы Windows. WMI может быть использован атакующими для выполнения вредоносных команд и полезной нагрузки, а также для сбора информации о системе и перемещения по сети. Разведка системы при помощи WMI может свидетельствовать о действиях атакующего по определению дальнейших векторов атак. Также данная активность может быть ложно-положительной и свидетельствовать о работе легитимного ПО. В случае срабатывания правила необходимо опросить пользователя, ответственного за учетную запись инициатора активности, на предмет выполняемых действий. В случае нелегитимности — заблокировать УЗ инициатора активности.

Discovery (TA0007)
Windows Management Instrumentation (T1047)
Gather Victim Host Information (T1592)
Client Configurations (T1592.004)

RV-D-1014

URL-схема в командной строке процесса

Чтобы избежать обнаружения, атакующий может выполнять команды и запускать исполняемые файлы через "посредника" в виде системных программ. Системные исполняемые файлы зачастую подписаны и могут быть занесены в списки исключений СЗИ (средств защиты информации). Некоторые из них в качестве аргумента могут принимать URL файла, что позволяет атакующему выполнить вредоносный код или команды без их предварительной загрузки на хост. Детектирование опирается на то, что в легитимных целях система не передает URL-адреса указанным программам.

Execution (TA0002)
Defense Evasion (TA0005)
Command and Scripting Interpreter (T1059)
Shared Modules (T1129)
User Execution (T1204)
Malicious File (T1204.002)

RV-D-1016

Разведка ключей реестра

Правило обнаруживает перечисление ключей реестра, которые могут быть интересны при разведке информации об узле. Данная техника часто используется атакующими на начальном этапе атаки для сбора критически важной информации о системе установленного ПО, параметров безопасности, данных автозагрузки и истории действий пользователя. Полученные сведения позволяют атакующему оценить вектор для дальнейшей эксплуатации. В случае срабатывания правила необходимо опросить пользователя, ответственного за учетную запись инициатора активности, на предмет выполняемых действий. В случае нелегитимности — заблокировать УЗ инициатора активности.

Discovery (TA0007)
Query Registry (T1012)
System Information Discovery (T1082)

RV-D-1017

Зафиксированы подозрительные операции при помощи WMI

Данное правило детектирует проведение подозрительных операций при помощи WMI. Под подозрительными операциями подразумевается активность, не характерная при обычной работе пользователя. К ним относятся методы PutInstance (метод, который позволяет создавать или обновлять экземпляр существующего класса в репозитории WMI) и ExecMethod (позволяет выполнять метод, экспортированный объектом CIM). При возникновении активности рекомендуется проанализировать смежные события по созданию процессов на предмет подозрительной активности. Данная активность является аномальной и может говорить о попытках атакующего закрепиться на хосте или исполнить вредоносный код. В случае срабатывания данного правила требуется опросить пользователя, ответственного за УЗ инициатора активности, на предмет указанных в событии действий. Если активность не является легитимной, требуется заблокировать УЗ инициатора активности на время инцидента.

Execution (TA0002)
Persistence (TA0003)
Windows Management Instrumentation (T1047)

RV-D-1018

Создание или изменение сервиса с помощью командной строки

Для закрепления или повышения привилегий в системе атакующий может использовать сервисы. Правило позволяет обнаружить попытку создания сервиса или изменения конфигурации сервиса с помощью системных утилит sc.exe/wmic.exe/reg.exe. Использование данных утилит с командами создания или изменения сервисов не является типичным для систем Windows, что может указывать на нелегитимную активность. Данное правило детектирует использование системных утилит с конкретными параметрами, характерными для изменения пути к исполняемым файлам существующих сервисов или создания атакующим нового сервиса в системе. Просмотреть сервисы на хосте можно в оснастке services.msc.

Persistence (TA0003)
Privilege Escalation (TA0004)
Service Stop (T1489)
Hijack Execution Flow (T1574)
Services Registry Permissions Weakness (T1574.011)

RV-D-1019

Создан сервис с подозрительными параметрами

Данное правило срабатывает при создании сервиса с нестандартным исполняемым файлом или путем к нему (например, при наличии в пути папки temp, tmp или использовании переменных окружения %temp%), который выполнит сервис при запуске. Исполнение таких параметров в созданных сервисах используется в хакерских инструментах Meterpreter и Cobalt Strike для повышения привилегий. В данном случае функция GetSystem создает сервис с правами System, в который передаются команды посредством named pipe. Named pipe — это канал для обмена данными между инициатором — "сервером" и клиентом. Также данное правило срабатывает при использовании таких утилит, как smbexec, psexec, так как они используют сервисы для выполнения команд, и при любом использовании командной строки в созданном сервисе.

Execution (TA0002)
System Services (T1569)
Service Execution (T1569.002)

RV-D-1020

Установлен сервис не из системного/стандартного пути

Для закрепления или повышения привилегий в системе атакующий может использовать сервисы. Правило обнаруживает создание сервиса, у которого исполняемый файл находится не в системном или стандартном пути. Так как у атакующего может не хватать прав на запись исполняемого файла (вредоносного программного обеспечения) в системную директорию, он может использовать любое другое местоположение в файловой системе, а для гарантированного его запуска — применять сервисы. Легитимные сервисы, как правило, располагают исполняемые файлы в системных путях. Просмотреть установленные сервисы и связанные с ними исполняемые файлы можно в оснастке services.msc. Исключения для легитимных путей к файлам указаны в поле on_event.

Execution (TA0002)
System Services (T1569)
Service Execution (T1569.002)

RV-D-1051

Размещение архивов в сетевой папке Windows

Атакующие могут размещать данные, собранные из нескольких систем, в централизованном месте или в каталоге на одной системе перед эксфильтрацией. Данные могут храниться в отдельных файлах или объединяться в один файл с помощью таких методов, как архивирование собранных данных.

Collection (TA0009)
Data Staged (T1074)
Remote Data Staging (T1074.002)
Archive Collected Data (T1560)

RV-D-1052

Поиск данных в сетевых папках Windows

Атакующие могут использовать сетевые ресурсы на скомпрометированных компьютерах, чтобы найти интересующие их файлы для последующего развития атаки.

Collection (TA0009)
Data from Network Shared Drive (T1039)

RV-D-1053

Удален объект групповой политики

Групповая политика — это набор параметров для централизованного управления пользователями и компьютерами в домене. Компонентами групповой политики являются контейнер групповой политики и объекты, которые находятся в нем. Атакующий может воспользоваться правами на удаление GPO для обхода политик и выполнения деструктивных действий. Данное правило отслеживает использование прав на удаление объектов или контейнеров групповой политики.

Privilege Escalation (TA0004)
Domain or Tenant Policy Modification (T1484)
Group Policy Modification (T1484.001)

RV-D-1054

Изменена групповая политика домена по умолчанию

В доменной инфраструктуре Active Directory существуют Default Domain Policy (политика домена по умолчанию) и Default Domain Controllers Policy (политика для доменных контроллеров), у которых по умолчанию есть свой уникальный ID групповой политики. Default Domain Policy содержит в себе базовые политики для домена и имеет уникальный глобальный идентификатор GUID 31b2f340-016d-11d2-945f-00c04fb984f9, по которому можно определить, что это за объект групповой политики. Default Domain Controllers Policy содержит в себе базовые политики для контроллеров домена, GUID — 6AC1786C-016F-11D2-945F-00C04FB984F9. Данное правило обнаруживает попытки редактирования файлов групповой политики. Такие изменения атакующий может использовать для повышения привилегий или закрепления в системе.

Persistence (TA0003)
Privilege Escalation (TA0004)
Domain or Tenant Policy Modification (T1484)
Group Policy Modification (T1484.001)
Modify Authentication Process (T1556)
Reversible Encryption (T1556.005)

RV-D-1078

Доступ к чувствительному сетевому диску Windows

Атакующие могут использовать сетевые ресурсы на скомпрометированных компьютерах, чтобы найти интересующие их файлы. При срабатывании данного правила корреляции необходимо посмотреть время срабатывания, пользователя и критичность сетевого диска.

Collection (TA0009)
Data from Network Shared Drive (T1039)

RV-D-1079

Изменение запланированной задачи в групповой политике

Для повышения привилегий и закрепления в системе атакующий может использовать объекты групповых политик. Объекты групповых политик — это контейнеры с параметрами групповой политики, состоящие из файлов, которые хранятся по сетевому пути \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ или локально на доменном контроллере по пути C:\Windows\SYSVOL\domain\Policies. Для этого атакующий может изменить или создать файл групповой политики, чтобы исполнить вредоносную команду/код. В данном правиле отслеживаются изменение или создание запланированной задачи в групповой политике по сетевому пути.

Privilege Escalation (TA0004)
Domain or Tenant Policy Modification (T1484)
Group Policy Modification (T1484.001)

RV-D-1080

Поиск учетных данных в групповых политиках

Данное правило направлено на детектирование атаки, связанной с поиском файлов групповых политик, содержащих конфиденциальную информацию. Атакующий может использовать команды, такие как findstr или Get-GPPPassword, для поиска XML-файлов в папке SYSVOL, где могут храниться настройки групповых политик, включая зашифрованные пароли. Успешная эксплуатация позволяет извлечь данные, которые могут быть использованы для дальнейшего распространения по сети, повышения привилегий или доступа к другим системам. В случае срабатывания правила необходимо получить разъяснения о причине данной активности от лица, ответственного за учетную запись. В случае отсутствия обратной связи — заблокировать учетную запись сотрудника, заблокировать узел, с которого произошел запрос, и провести внутреннее расследование.

Credential Access (TA0006)
Unsecured Credentials (T1552)
Group Policy Preferences (T1552.006)

RV-D-1091

Чтение процесса LSASS от подозрительного процесса

Атакующий может попытаться получить данные других учетных записей с помощью дампа системного процесса LSASS (Local Security Authority Subsystem Service), который хранит в своей памяти учетные данные авторизованных пользователей на узле. Данное правило обнаруживает предоставление доступа на чтение процесса LSASS подозрительным процессам. Существует системное/легитимное ПО, которое обращается к процессу LSASS с правами на чтение. Данные процессы внесены в исключения в поле on_event. В исключения входят taskmgr.exe (диспетчер задач), который при запуске запрашивает доступ на чтение lsass, утилиты из набора Microsoft Sysinternals, например, Process Explorer, Process Monitor, Autoruns. Правило не свидетельствует о фактическом удачном дампе процесса, а указывает на получение доступа от подозрительного или нестандартного для Windows процесса.

Credential Access (TA0006)
OS Credential Dumping (T1003)
LSASS Memory (T1003.001)

RV-D-1092

Закрепление в директорию автозагрузки

Атакующий, с целью закрепления, может добавить ВПО в директории автозапуска. Указанная активность позволит потенциальному ВПО запускаться каждый раз при включении системы. Данная активность является аномальной и может свидетельствовать об активности ВПО.

Persistence (TA0003)
Boot or Logon Autostart Execution (T1547)
Registry Run Keys / Startup Folder (T1547.001)

RV-D-1093

Закрепление в Print Processors через подозрительную DLL

Служба очереди печати (spoolsv.exe) работает за счет DLL-библиотек, которые загружаются во время загрузки ПК, и атакующие злоупотребляют ими, выполняя свои DLL во время загрузки. Одним из способов добавления DLL является добавление нужной DLL по определенному пути файловой системы.

Persistence (TA0003)
Privilege Escalation (TA0004)
Boot or Logon Autostart Execution (T1547)
Print Processors (T1547.012)

RV-D-1094

Очистка истории команд PowerShell в Windows

Данное правило направлено на детектирование подозрительных действий, связанных с использованием техники очистки истории команд PowerShell, которая позволяет атакующему скрывать следы своей активности, удаляя или предотвращая сохранение выполненных команд. Такое поведение является аномальным для стандартной работы пользователей и может указывать на попытку атакующего замаскировать свои действия в системе. Обнаружение осуществляется на основании использования ключевых команд PowerShell, таких как Clear-History, Remove-Item, с обращением к файлу истории или изменения параметров Set-PSReadlineOption.

Defense Evasion (TA0005)
Indicator Removal (T1070)
Clear Command History (T1070.003)

RV-D-1095

Добавление файла в директорию расширения браузера

Данное правило направлено на обнаружение подозрительных действий, связанных с добавлением файлов в директорию расширений браузера. Такие действия могут быть использованы атакующими для установки вредоносных или нежелательных расширений, которые могут изменять поведение браузера, собирать конфиденциальные данные пользователя или выполнять другие вредоносные операции.

Persistence (TA0003)
Software Extensions (T1176)
Browser Extensions (T1176.001)
Browser Information Discovery (T1217)

RV-D-1096

Удаленная эксплуатация DCOM-объекта Excel.Application

Правило детектирует удаленный запуск процессов с помощью DCOM. После получения первоначального доступа атакующий может начать горизонтальное перемещение по инфраструктуре. C помощью объектов Excel.Application атакующий может скрытно выполнять вредоносный код через автоматические макросы Excel.

Lateral Movement (TA0008)
Remote Services (T1021)
Distributed Component Object Model (T1021.003)

RV-D-1107

Регистрация вредоносного Password Filter

Пакеты уведомлений LSA (Notification Packages) являются критически важным компонентом подсистемы аутентификации Windows, отвечающим за проверку и обработку паролей в доменной среде. Эти пакеты, представляющие собой динамические библиотеки (DLL), загружаются процессом Local Security Authority (LSA) при запуске системы и получают доступ к учетным данным пользователей в момент их изменения. Легитимно используются для реализации расширенных политик сложности паролей.

Persistence (TA0003)
Modify Authentication Process (T1556)
Password Filter DLL (T1556.002)

RV-D-1119

Включение функции обратимого шифрования

Обратимое шифрование паролей является альтернативным методом хранения учетных данных в Active Directory, при котором пароли сохраняются с использованием двустороннего алгоритма шифрования вместо криптостойких хэшей. В отличие от стандартного хэширования NTLM, данный метод позволяет восстановить исходные пароли в открытом виде при наличии соответствующих ключей дешифрования.

Persistence (TA0003)
Credential Access (TA0006)
Credentials from Password Stores (T1555)
Modify Authentication Process (T1556)
Reversible Encryption (T1556.005)
Impair Defenses (T1562)

RV-D-1125

Включено обратимое шифрование паролей

В Active Directory по умолчанию пароли хранятся в виде необратимых хэшей (NTLM), что обеспечивает базовую защиту даже при компрометации базы данных. В системе существует механизм обратимого шифрования паролей (Reversible Encryption), предназначенный для обратной совместимости с устаревшими приложениями, которые требуют доступа к паролю в открытом виде. Это позволяет атакующему, получившему доступ к данным домена, легко расшифровать пароли пользователей.

Persistence (TA0003)
Defense Evasion (TA0005)
Credential Access (TA0006)
Valid Accounts (T1078)
Account Manipulation (T1098)
Domain or Tenant Policy Modification (T1484)
Use Alternate Authentication Material (T1550)
Unsecured Credentials (T1552)
Modify Authentication Process (T1556)
Reversible Encryption (T1556.005)
Steal or Forge Kerberos Tickets (T1558)

RV-D-1127

Выполнение прокси-файла через verclsid

Verclsid.exe — легитимная утилита проверки COM-объектов, предназначенная для регистрации и верификации CLSID через COM-инфраструктуру. Эта утилита может выполнять произвольный код из DLL-файлов, указанных в качестве COM-серверов, что позволяет атакующему обойти механизмы контроля приложений, маскируя выполнение вредоносной нагрузки под подписанный системный процесс.

Execution (TA0002)
Defense Evasion (TA0005)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Windows Command Shell (T1059.003)
System Binary Proxy Execution (T1218)
Verclsid (T1218.012)

RV-D-1128

Подозрительное чтение данных приложений

Большинство браузеров и некоторые приложения для обмена сообщениями хранят учетные данные, cookie-файлы, историю просмотров и конфигурации в локальных директориях профиля пользователя (например, AppData в Windows). Эти директории часто становятся первой целью атакующих для разведки (T1217 Browser Information Discovery). Данное правило отслеживает обращение к файлам, где хранятся учетные данные или другие чувствительные данные в хранилищах браузеров и приложений, с целью выявления подозрительных операций чтения.

Discovery (TA0007)
Browser Information Discovery (T1217)

RV-D-1129

Установка пакетов msi из пользовательской директории

Атакующие могут встроить вредоносный код (скрипты или бинарные файлы) в установочные пакеты программ, и при установке легитимного приложения этот код запускается автоматически, нередко с повышенными правами. В операционных системах семейства Windows в качестве установочных пакетов чаще всего используются файлы формата .msi. Правило позволяет обнаруживать установку MSI-пакетов из пользовательских или временных директорий.

Privilege Escalation (TA0004)
Defense Evasion (TA0005)
System Binary Proxy Execution (T1218)
Msiexec (T1218.007)
Event Triggered Execution (T1546)
Installer Packages (T1546.016)

RV-D-1134

Создание правил почты через PowerShell

Данное правило направлено на обнаружение создания или модификации правил почтовых ящиков (InboxRule) или транспортных правил (TransportRule) с использованием командлетов PowerShell. Эти правила являются штатными функциями Microsoft Exchange, предназначенными для автоматической обработки и маршрутизации сообщений. Атакующий изменяет или добавляет их с целью скрытой пересылки конфиденциальных данных, автоматического удаления предупреждений систем безопасности или сокрытия следов своей деятельности.

Execution (TA0002)
Defense Evasion (TA0005)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Hide Artifacts (T1564)
Email Hiding Rules (T1564.008)

RV-D-1136

Построение образа в Windows

Правило обнаруживает команды для построения образа контейнера, используемые, чтобы обойти защиту от получения вредоносных образов из общедоступных реестров.

Defense Evasion (TA0005)
Build Image on Host (T1612)

RV-D-1146

Изменение атрибутов групповой политики

Правило отслеживает изменение атрибутов элементов групповой политики (GPO). При модификации GPO могут изменяется атрибуты gPCMachineExtensionNames (определяет действия GPO в контексте компьютера), gPCUserExtensionNames (определяет действия GPO в контексте пользователя), gPCFileSysPath (указывает на папку, связанную с объектом групповой политики). Значение данных атрибутов обновляется при изменении объектов групповой политики. Атакующий может изменять объекты GPO для закрепления или повышения привилегий, изменяя задачи планировщика, ключи реестра, элементы автозагрузки и другие параметры. Для проведения атаки требуется учетная запись, которая имеет необходимые привилегии для изменения GPO.

Privilege Escalation (TA0004)
Domain or Tenant Policy Modification (T1484)
Group Policy Modification (T1484.001)

RV-D-1148

Удаление доменной\локальной\компьютерной учетной записи

Persistence (TA0003)
Account Manipulation (T1098)
Create Account (T1136)
Local Account (T1136.001)
Domain Account (T1136.002)

RV-D-1149

Добавление пользователя в критичные доменные группы

После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи или поддержание шелла для вторичного доступа в систему. Чтобы можно было выполнять какие-либо действия под новой учетной записью, в том числе подключаться удаленно, нужно предоставить права для этих действий этой учетной записи. Для этого атакующий может попробовать добавить учетную запись в доменные группы, которые предоставляют необходимый доступ. Кроме того, наличие уязвимости в продукте VMware ESXi позволяет автоматически получать административный доступ к ESXi-гипервизорам, подключенным к Active Directory. Для этого атакующему достаточно добавить любого доменного пользователя в доменную группу ESX Admins, что делает важным отслеживание любых добавлений пользователей в данную группу.

Persistence (TA0003)
Account Manipulation (T1098)
Additional Local or Domain Groups (T1098.007)

RV-D-1150

Создание новой доменной\локальной\компьютерной учетной записи

Persistence (TA0003)
Account Manipulation (T1098)
Create Account (T1136)
Local Account (T1136.001)
Domain Account (T1136.002)

RV-D-1151

Изменение SPN учетной записи

Service Principal Name (SPN) — это уникальный идентификатор, который используется Kerberos для идентификации сервиса. Атакующий может попытаться изменить SPN для обхода различных механизмов аутентификации. Изменение данного атрибута может помочь атакующему провести репликацию данных между контроллерами домена (атаки DCSync и DCShadow) или получить доступ к билету Kerberos целевой учетной записи (атака Kerberoasting). Для проведения атаки атакующему требуются права, эквивалентные правам администратора домена. Правило детектирует наличие в измененном SPN объекта Global Catalog (GC), не являющегося DC, а также изменение SPN-аккаунта пользователя.

Privilege Escalation (TA0004)
Account Manipulation (T1098)

RV-D-1153

Создание и удаление учетной записи за одну минуту

После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использования скомпрометированных учетных записей и шелла для повторного доступа. Атакующий или вредоносное программное обеспечение для большей конспирации может создать учетную запись, выполнить вредоносное действие под ней и сразу же ее удалить. Таким образом, данным правилом определяется создание новой доменной\локальной учетной записи и последующее ее удаление в течение минуты.

Persistence (TA0003)
Account Manipulation (T1098)
Create Account (T1136)
Local Account (T1136.001)
Domain Account (T1136.002)

RV-D-1160

Создана пользовательская форма Outlook

Формы Outlook -– это возможность создания и использования пользовательских форм в Microsoft Outlook для управления информацией и данными. Атакующий может создать пользовательские формы Outlook, которые будут выполнять код при отправке специально созданного сообщения электронной почты, использующего ту же пользовательскую форму Outlook.

Persistence (TA0003)
Office Application Startup (T1137)
Outlook Forms (T1137.003)

RV-D-1161

Изменение настроек Outlook

Атакующие могут изменять критические настройки Microsoft Outlook через утилиту reg.exe или прямые записи в реестр Windows, чтобы обойти встроенные механизмы защиты почтового клиента. Используя изменение таких параметров, как включение «небезопасных» правил обработки почты, установка произвольных URL-адресов домашней страницы, автозапуск макросов и понижение уровня безопасности.

Persistence (TA0003)
Defense Evasion (TA0005)
Modify Registry (T1112)
Office Application Startup (T1137)
Office Template Macros (T1137.001)
Outlook Home Page (T1137.004)
Outlook Rules (T1137.005)

RV-D-1162

Маскировка учетной записи под имя компьютера

После получения доступа к корпоративной сети атакующий может закрепиться в системе, создав новую учетную запись. Это позволяет отказаться от использования скомпрометированных учетных записей и поддержания постоянного шелла для повторного доступа. Для маскировки может быть создана учетная запись (далее — УЗ), внешне похожая на компьютерную, отличительным признаком которой является символ $ в конце имени. Данное правило выявляет создание или изменение доменной или локальной учетной записи, замаскированной под компьютерную учетную запись.

Persistence (TA0003)
Defense Evasion (TA0005)
Masquerading (T1036)
Masquerade Account Name (T1036.010)
Create Account (T1136)
Local Account (T1136.001)

RV-D-1165

Включение или отключение учетной записи

После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе. Для этого ему требуется доступ к учетной записи. Чтобы не создавать новую учетную запись, атакующий может включить уже существующую учетную запись и после совершения атаки отключить ее. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи, что маскирует выполняемые действия. Таким образом, данным правилом определяется включение и отключение доменной\локальной учетной записи.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1168

Изменения в планировщике задач

Task Scheduler или Планировщик задач — служба в Windows, которая позволяет автоматизированно выполнять запланированные задачи на устройстве по заранее заданному триггеру: время, наступление определенного события и другие. Данная служба удобна для атакующего тем, что запланированные задачи являются легитимными в операционной системе Windows. Это позволяет замаскировать вредоносные действия, а сам функционал планировщика задач не будет отключен администраторами, так как на нем строится работа всей системы. Данное правило направлено на детектирование внесения изменений в службу Task Scheduler с помощью инструментов, основанных на специальном API для работы с задачами.

Execution (TA0002)
Persistence (TA0003)
Scheduled Task/Job (T1053)
At (T1053.002)
Scheduled Task (T1053.005)

RV-D-1175

Аномальное поведение офисного ПО

Данное правило направлено на детектирование подозрительных действий, связанных с использованием офисных приложений (например, Microsoft Word, Excel или PowerPoint), которые являются аномальными для их стандартного поведения. Такое поведение может указывать на попытку атакующего эксплуатировать макросы, вставлять вредоносный код или инициировать запуск внешних исполняемых файлов. Детект выполняется при создании потока в процессах офисных приложений или запуска от их имени файлов, расширение которых не является для них нормой, например, .exe, .bat и другие. Успешная эксплуатация позволяет атакующему получить доступ к критически важным данным, что может быть использовано для дальнейшего продвижения по сети, повышения привилегий или компрометации систем.

Privilege Escalation (TA0004)
Process Injection (T1055)
Thread Execution Hijacking (T1055.003)

RV-D-1181

Интерактивный вход под сервисной учетной записью

Сервисная учетная запись, предназначенная для автоматизации задач, часто имеет доступ к важным данным и потенциально может иметь особые привилегии (права администратора). Поэтому важно отслеживать активность данных учетных записей. Интерактивный вход под такой учетной записью является необычной активностью. Они не персонализированы, и обычные пользователи не работают из-под них. Интерактивный вход может указывать на взлом учетной записи. Обнаружение активности требует внесения полного перечня сервисных учетных записей в активный список service_account_list_cimv2.

Initial Access (TA0001)
Valid Accounts (T1078)

RV-D-1184

Вход под учетной записью, созданной по умолчанию

Правило предназначено для выявления входов в систему с использованием локальных учетных записей, создаваемых по умолчанию. В перечень таких учетных записей входят: Administrator, Guest, Local Service, DefaultAccount, WDAGUtilityAccount и Network Service. Активность, выполняемая под данными учетными записями, требует контроля, поскольку в штатной конфигурации они, как правило, отключены, а вход под ними не считается нормальной практикой.

Initial Access (TA0001)
Valid Accounts (T1078)
Default Accounts (T1078.001)

RV-D-1185

Манипуляции с теневыми копиями с помощью встроенных утилит

Для затруднения автоматического восстановления данных в системе атакующий может удалить или изменить теневые копии на Windows Server, что сделает их недоступными. Правило позволяет обнаружить удаление, изменение, отключение теневых копий с использованием встроенных утилит и команд wmic, vssadmin, wbadmin, diskshadow или отключение режима авто-восстановления при загрузке системы с помощью встроенной утилиты bcdedit.exe, что часто используют атакующие одновременно с удалением резервных копий. Данное правило направлено на обнаружение в командной строке запуска упомянутых утилит с параметрами, позволяющими манипулировать теневыми копиями.

Impact (TA0040)
Inhibit System Recovery (T1490)

RV-D-1205

Новый сертификат root был установлен средствами Certutil.exe

Обнаружено выполнение утилиты Certutil.exe с флагом addstor для установки нового сертификата системы. Атакующие могут установить корневой сертификат на взломанную систему, чтобы избежать предупреждений при подключении к контролируемым веб-серверам. Корневые сертификаты являются частью инфраструктуры открытых ключей (PKI) и используются для проверки подлинности сертификатов удостоверяющих центров (ЦС). Если атакующий установит свой собственный корневой сертификат на целевой системе, то затем сможет подделывать сертификаты для любых веб-сайтов или служб без предупреждения или обнаружения со стороны браузера или клиента.

Defense Evasion (TA0005)
Subvert Trust Controls (T1553)
Install Root Certificate (T1553.004)

RV-D-1207

Удаленное выполнение команд с помощью SMBExec

Правило обнаруживает последовательность событий, которая указывает на использование утилиты для горизонтального перемещения и удаленного выполнения команд SMBExec из набора Impacket. Impacket — это набор утилит на Python, которые используют различные сетевые протоколы Windows для выполнения команд на удаленных системах. При использовании Smbexec для исполнения команд на удаленной системе происходит подключение к общей доступной папке с помощью протокола Smb (Server Message Block). Далее создается новый сервис, после чего исполняются заданные команды с правами созданного сервиса.

Execution (TA0002)
Persistence (TA0003)
Lateral Movement (TA0008)
Remote Services (T1021)
SMB/Windows Admin Shares (T1021.002)
Create or Modify System Process (T1543)
Windows Service (T1543.003)
System Services (T1569)
Service Execution (T1569.002)
Lateral Tool Transfer (T1570)

RV-D-1216

Подгрузка подозрительного пакета процессом LSA

Правило выявляет загрузку процессом LSA пакетов аутентификации, не относящихся к стандартному набору, используемому в штатной работе операционной системы, например, пакетов, загружаемых из нестандартного пути. Такая активность может указывать на попытку внедрения стороннего кода в процесс LSA с целью получения доступа к учетным данным для повышения привилегий.

Persistence (TA0003)
Privilege Escalation (TA0004)
Boot or Logon Autostart Execution (T1547)
Security Support Provider (T1547.005)

RV-D-1220

Атака DCShadow

DCShadow — это метод манипулирования объектами AD путем регистрации поддельного DC и моделирования необходимого поведения. При регистрации DC для узла добавляется атрибут SPN с неизменяемым GUID E3514235-4B06-11D1-AB04-00C04FC2DCD2. Атрибут определяет хост, с которым DC может проводить репликацию. После регистрации атакующий может внедрять и реплицировать изменения в инфраструктуру AD для любого объекта домена. Для проведения атаки требуются привилегии администратора домена. Правило отслеживает добавление узлу атрибута SPN, соответствующего GUID, и событие репликации DC c данным узлом.

Defense Evasion (TA0005)
Rogue Domain Controller (T1207)

RV-D-1234

Извлечение cab-файлов через Wusa.EXE

Атакующие используют wusa.exe с параметром /extract как LOLBin для распаковки CAB-архивов из пользовательских или временных директорий без применения сторонних утилит, что помогает обходить контроль запуска ПО и снижать заметность активности. Риск заключается в скрытой доставке и извлечении вредоносных компонентов (DLL, EXE, скриптов) в доверенном контексте системной утилиты с последующим выполнением, что затрудняет обнаружение и может привести к компрометации хоста. Данное правило обнаруживает запуск утилиты wusa.exe с аргументом /extract из подозрительных путей.

Execution (TA0002)
System Binary Proxy Execution (T1218)

RV-D-1247

Атака Pass the Hash

Данное правило направлено на обнаружение подозрительных действий, связанных с использованием техники Pass-the-Hash (PtH), которая позволяет атакующему аутентифицироваться в системе, применяя NTLM-хэш пароля вместо его ввода. Такое поведение является аномальным для стандартных сценариев аутентификации и может указывать на попытку атакующего получить доступ к системам без знания пароля учетной записи. Обнаружение выполняется при анализе событий входа или при выполнении PowerShell-скриптов. Успешная эксплуатация PtH может привести к несанкционированному доступу к критически важным данным, использованию привилегированных учетных записей и дальнейшему продвижению атакующего в инфраструктуре.

Defense Evasion (TA0005)
Use Alternate Authentication Material (T1550)
Pass the Hash (T1550.002)

RV-D-1257

Атака Kerberoasting

Kerberoasting нацелен на получение билетов TGS, ассоциированных с пользовательскими учетными записями в Active Directory (AD). Для шифрования этих билетов используются сервисные ключи, полученные из паролей сервисных пользователей. Таким образом, методом подбора можно взломать пароль сервисной учетной записи в автономном режиме.

Credential Access (TA0006)
Steal or Forge Kerberos Tickets (T1558)
Kerberoasting (T1558.003)

RV-D-1262

Копирование веток реестра, содержащих хэши паролей

Данное правило направлено на обнаружение подозрительных действий, связанных с использованием техники OS Credential Dumping, которая позволяет атакующим извлекать учетные данные (логины и пароли) из операционных систем. Правило детектирует два случая копирования веток реестра — это эксплуатация уязвимостей в Security Account Manager (SAM) и Local Security Authority (LSA) Secrets. SAM хранит хэши паролей пользователей, что делает его целью для атакующих. Из LSA атакующий может получить пароль учетной записи, от имени которой запускается какой-либо сервис, и учетные данные компьютерной учетной записи. Захват хэшей паролей позволяет атакующему впоследствии производить атаки на подбор паролей в оффлайн-режиме, расшифровать хэши и получить доступ к учетным записям пользователей.

Credential Access (TA0006)
OS Credential Dumping (T1003)
Security Account Manager (T1003.002)
LSA Secrets (T1003.004)

RV-D-1265

Удаленный запуск процесса с помощью WMI

Правило обнаруживает удаленный запуск процессов с помощью WMI (wmiexec + wmic). После получения первоначального доступа атакующий начинает горизонтальное перемещение по корпоративной сети жертвы. Одной из популярных утилит для этих целей является WMIExec из пакета Impacket или встроенная в Windows утилита wmic, которая предназначена для удаленного администрирования и позволяет запускать процессы, используя систему удаленного управления сервисами и передачи файлов.

Lateral Movement (TA0008)
Remote Services (T1021)

RV-D-1274

Вход с разных хостов на один хост под одной учетной записью

Правило обнаруживает авторизацию пользователя на одном узле с разных хостов за короткий промежуток времени. Данное поведение является аномальным, атакующий может попытаться зайти на узел с разных хостов для горизонтального перемещения в информационной системе.

Initial Access (TA0001)
Valid Accounts (T1078)

RV-D-1277

Добавление пользователя в критичные локальные группы

Persistence (TA0003)
Account Manipulation (T1098)
Additional Local or Domain Groups (T1098.007)

RV-D-1278

Вход под несуществующим пользователем

Правило предназначено для детектирования попыток входа под логином несуществующей учетной записи при доменной авторизации. Оно позволяет зафиксировать подозрительную активность или попытку несанкционированного доступа в информационную систему.

Initial Access (TA0001)
Valid Accounts (T1078)

RV-D-1281

Вход на устройство под разными учетными записями

Правило детектирует множество подключений под разными учетными записями (УЗ) к одному узлу за 120 секунд. Атакующий может получить доступ к нескольким УЗ с разными привилегиями и подключаться под ними к одному известному ему устройству.

Initial Access (TA0001)
Valid Accounts (T1078)

RV-D-1284

Атака Password Spraying

Для получения доступа к домену атакующий может попробовать подобрать пароль для учетной записи в домене с помощью перебора одного или нескольких паролей одновременно для нескольких пользователей. Данный метод является менее заметным, так как происходит несколько попыток входа на одну учетную запись, что предотвращает ее блокировку. Правило обнаруживает распыление паролей для подбора учетных данных по NTLM и Kerberos с ошибкой неверный пароль для разных УЗ с одного хоста. В событиях NTLM аутентификации 4776 может не всегда отображаться имя хоста, в этом случае можно посмотреть события 4625 с аналогичной учетной записью в дельту времени или события 4771 с Kerberos аутентификацией.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)
Credential Stuffing (T1110.004)

RV-D-1285

Вход под учетной записью администратора

Правило предназначено для обнаружения входов в систему с использованием учетных записей администраторов. Учетные записи с повышенными привилегиями, подлежащие усиленному мониторингу, перечислены в списке privileged_users_and_hosts.

Initial Access (TA0001)
Valid Accounts (T1078)

RV-D-1286

Вход на несколько узлов под одной учетной записью

Правило предназначено для обнаружения входов одного пользователя на различные узлы в ограниченный промежуток времени. Такая активность может быть характерна для атакующего, который получил доступ к учетной записи пользователя и использует ее для горизонтального перемещения.

Initial Access (TA0001)
Valid Accounts (T1078)
Domain Accounts (T1078.002)

RV-D-1287

Несистемный процесс повысил привилегии до системы

Правило обнаруживает создание процесса с SYSTEM-правами от пользовательского процесса. Это возможно при эксплуатации уязвимостей, связанных с получением системного токена, например, уязвимостей типа Potato. Полученный токен далее используется для создания процесса от пользователя SYSTEM через API-вызовы CreateProcessAsUser, CreateProcessWithToken. Детектирование построено на том, что процесс атакующего, изначально не имеющий системных прав, порождает процесс от пользователя SYSTEM.

Privilege Escalation (TA0004)
Access Token Manipulation (T1134)

Была ли полезна эта страница?

Обратная связь