Microsoft Windows Sysmon: правила корреляции

RV-AL-4

Обогащение активного списка "legitimate_guids_svchost_processes_cimv2"

Правило собирает данные о легитимных процессах svchost, связанных со службой Schedule, и наполняет этими значениями активный список legitimate_guids_svchost_processes_cimv2.

-

RV-D-812

Процесс загрузил модуль по UNC-пути

Атакующие могут загружать вредоносные библиотеки напрямую с удаленных ресурсов, используя легитимные системные утилиты, такие как rundll32.exe или regsvr32.exe. Это позволяет обойти загрузку вредоносного содержимого на диск и использовать доверенные исполняемые файлы Windows как прокси для выполнения кода. Такой подход позволяет избежать срабатывания многих защитных механизмов, основанных на анализе дисковой активности или проверке цифровой подписи исполняемых файлов. При загрузке библиотеки по UNC-пути (\\server\share\malicious.dll) процесс обращения к удаленному ресурсу может быть зафиксирован с помощью событий загрузки модулей. При срабатывании следует проверить загруженную библиотеку и инициирующий процесс. При наличии признаков компрометации — изолировать хост и начать расследование.

RV-D-813

Исходящее сетевое соединение PowerShell

Обнаружение сетевого соединения, инициированного процессом PowerShell. Часто вредоносные сценарии PowerShell загружают дополнительную полезную нагрузку или связываются с каналами управления через необычные порты или IP-адреса.

RV-D-814

Использование PowerShell через сторонние инструменты

Для выполнения команд PowerShell можно использовать только библиотеки, отвечающие за его функционал, при этом не будет запущен основной процесс powershell.exe. Данный метод позволит атакующим обойти ограничения на запуск процесса PowerShell, а также скрыть события выполнения команд. Также возможен запуск команд PowerShell через стороннюю библиотеку, в таком случае ее нужно сначала запустить, например с помощью библиотеки rundll32.dll или других утилит, таких как InstallUtil.exe, regsvcs.exe, regasm.exe, regsvr32. Если в срабатывании участвует один из данных инструментов, следует проверить, какие были выполнены команды в системе с участием конкретной утилиты в дельту времени срабатывания. Для детектирования используются события загрузки библиотек, относящихся к использованию командного интерпретатора. При срабатывании правила следует определить, что за процесс использует библиотеку PowerShell. Если он не является легитимным, необходимо временно изолировать хост и провести внутреннее расследование.

RV-D-815

Использование библиотеки cygwin1.dll

Использование библиотеки cygwin1.dll, которая обеспечивает UNIX-подобную среду и оболочку командной строки в Windows, может быть как легитимным, так и свидетельствовать о попытках атакующих использовать UNIX-инструменты для обхода защитных механизмов и выполнения команд. Данное правило выявляет запуск процессов с загрузкой библиотеки cygwin1.dll. При срабатывании рекомендуется проверить контекст запуска процесса, определить легитимность приложения и происхождение библиотеки, проанализировать цепочку запуска и права пользователя. При подтверждении подозрительной активности необходимо начать расследование инцидента, при необходимости временно изолировать пострадавший хост и заблокировать учетную запись, под которой выявлена активность.

RV-D-816

Зафиксирована загрузка модуля WMI подозрительным процессом

Это правило обнаруживает, когда подозрительный процесс загружает модуль WMI (Windows Management Instrumentation). WMI — это функция администрирования, которая позволяет получать доступ к компонентам системы Windows. WMI может быть использован атакующими для выполнения вредоносных команд и полезной нагрузки, а также для сбора информации о системе и перемещения по сети. Загрузка модуля WMI подозрительным процессом позволит ему выполнять функции WMI от своего имени. Если WMI-библиотека загружается процессом, не относящимся к системному ПО или известным агентам администрирования, это может указывать на попытку скрытного использования WMI. При срабатывании правила следует определить, что за процесс загрузил модуль, проверить, выполнялись ли через него команды, и опросить пользователя-инициатора. При отсутствии подтверждения — временно заблокировать учетную запись и инициировать расследование.

RV-D-817

Манипулирование запланированными задачами через реестр

Планировщик задач (Task Scheduler) — это служба в Windows, которая позволяет автоматизированно выполнять запланированные задачи на устройстве по заранее заданному триггеру (время, наступление определенного события и другие). Данная служба привлекает внимание атакующих, так как планировщик задач не будет отключен администраторами в связи с тем, что на нем строится работа всей системы. Данное правило направлено на детектирование подозрительных действий с запланированными задачами непосредственно через реестр. Оно может детектировать, например, манипуляции через службу Remote Registry. Реализовано данное правило за счет исключения легитимной работы планировщика задач (служба Schedule). Также логикой правила затрагивается сокрытие запланированной задачи из планировщика задач (ключи SD и Index в интересующих ветках). В случае срабатывания правила требуется изучить содержимое задачи, а также определить инициатора добавления задачи. Необходимо опросить инициатора активности на предмет легитимности действий. Если легитимность подтвердить не удалось, следует заблокировать учетную запись инициатора активности и удалить задачу из планировщика задач.

RV-D-818

Загрузка несуществующей dll для сервисов IKE, IKEEXT, SessionEnv

Данное правило обнаруживает попытки загрузки устаревших или несуществующих DLL-библиотек (wlbsctrl.dll, tsmsisrv.dll, tsvipsrv.dll) системным процессом svchost.exe. Эти библиотеки ранее использовались службами IKE, IKEEXT и SessionEnv, которые отсутствуют в современных версиях Windows. Подобная активность может свидетельствовать о попытке выполнения произвольного кода атакующих через механизм подмены DLL (DLL Side-Loading). Использование данной техники часто связано с целями обхода механизмов защиты, сохранения доступа в системе или повышения привилегий. В случае срабатывания рекомендуется проверить источник и целевую DLL, а также выявить возможные следы вмешательства или сохраненного доступа. Если активность не является легитимной, рекомендуется при необходимости изолировать хост для предотвращения дальнейшего развития атаки.

RV-D-819

Загрузка модуля в процесс cmstp из нестандартного пути

Атакующие могут использовать системную утилиту cmstp.exe (Connection Manager Profile Installer) для загрузки и выполнения вредоносных библиотек DLL, маскируясь под легитимную активность системы. Утилита предназначена для установки профилей подключения и использует inf-файлы, которые могут содержать секции RegisterOCXSection и UnRegisterOCXSection — именно через них атакующие могут указать путь к вредоносной DLL. При нормальной работе системы cmstp.exe загружает модули из стандартных системных директорий (System32, Program Files и другие). Это правило выявляет попытки загрузки модулей в процессе cmstp.exe из подозрительных пользовательских путей. При срабатывании необходимо запросить объяснение у пользователя или администратора, проверить путь к DLL, а также инициирующий inf-файл. В случае подтверждения инцидента необходимо изолировать хост, сменить пароль от учетной записи пользователя, от имени которой выполнялись действия, начать расследование.

RV-D-820

Неподписанная DLL загружена утилитой Windows

Атакующие часто используют доверенные утилиты Windows для выполнения произвольного кода, поскольку такие процессы могут быть исключены из контроля средствами защиты информации. Данное правило отслеживает случаи загрузки неподписанных или неподтвержденных DLL-библиотек такими системными утилитами, как rundll32.exe, regsvr32.exe, installutil.exe, regasm.exe и другими. Такая активность может свидетельствовать о попытке обхода механизмов защиты и выполнения вредоносного кода в доверенном контексте. При срабатывании правила рекомендуется проверить источник DLL, наличие цифровой подписи, определить, был ли запуск инициирован пользователем или сторонним ПО. При отсутствии подтверждения — изолировать хост, сменить пароль пользователя и инициировать расследование.

RV-D-821

Изменение ветки реестра Provisioning_Commands

Внесение изменений в ветку реестра \SOFTWARE\Microsoft\Provisioning\Commands\ может использоваться атакующими для маскировки запуска вредоносного программного обеспечения. Изменения в данной ветке позволяют конфигурировать запуск исполняемых файлов через легитимный системный инструмент provlaunch.exe, предназначенный для выполнения вспомогательных действий при установке, обновлении или настройке ОС. Подобный подход позволяет обойти защитные механизмы и затруднить обнаружение. При выявлении подобной активности следует проверить, кто инициировал изменение, проанализировать путь и содержимое исполняемого файла, а при наличии признаков компрометации — изолировать хост и провести дальнейшее расследование.

RV-D-822

Загрузка модуля в процесс mmc из нестандартного пути

В попытке избежать обнаружения атакующий может выполнять команды/запускать исполняемые файлы через "посредника" в виде системных программ. Системные исполняемые файлы зачастую подписаны, могут быть занесены в списки исключений средств защиты информации. Одной из таких программ является mmc.exe, позволяющая загрузить оснастку на локальную или удаленную машину. Атакующий может создать свою оснастку в которой будет ссылаться на какой-либо COM-объект (через CLSID), и при загрузке этой оснастки будет выполнен его "код" (например, загружена dll из значения реестра InProcServer32 для этого CLSID). Правило выявляет случаи, когда mmc.exe загружает модули из нестандартных директорий, не характерных для легитимного использования. При срабатывании правила рекомендуется уточнить характер активности, проверить легитимность загружаемого модуля, инициировавшего процесс, а также провести дополнительный анализ поведения узла.

RV-D-823

Загрузка процессом mshta модулей для выполнения скриптов

Данное правило предназначено для выявления случаев загрузки в процесс mshta.exe библиотек, связанных с выполнением скриптов (vbscript.dll, jscript.dll, jscript9.dll). Такой сценарий может свидетельствовать об использовании утилиты mshta в качестве "посредника" для выполнения вредоносных HTA-файлов, содержащих встроенные скрипты. Подобная техника применяется атакующими с целью обхода защитных механизмов, так как mshta является легитимным и подписанным системным исполняемым файлом. Рекомендуется проверить командную строку процесса mshta.exe, а также сетевую активность и родительские процессы. При подтверждении подозрительной активности следует выгрузить и проанализировать HTA-файл (если доступен), исследовать процесс mshta.exe, провести проверку на наличие аналогичных артефактов в системе и инфраструктуре.

RV-D-824

Сетевое подключение из подозрительной директории

Данное правило направлено на обнаружение сетевого подключения из подозрительных мест в файловой системе. Активность может быть вызвана вредоносным программным обеспечением, которое устанавливает связь с удаленным сервером для передачи или получения вредоносных данных. Обнаружение такой сетевой активности из подозрительных директорий может быть признаком компрометации системы. Рекомендуется проверить путь запуска процесса, инициировавшего подключение, и убедиться в легитимности исполняемого файла, уточнить действия у пользователя. При наличии признаков вредоносной активности следует изолировать хост и начать расследование.

RV-D-825

Сетевое подключение, инициированное процессом Winlogon

Процесс winlogon.exe отвечает за аутентификацию пользователей и управление сеансами входа в систему, обеспечивая инициализацию пользовательского окружения и запуск необходимых системных процессов после успешного входа. Обычно winlogon.exe не устанавливает сетевые соединения с внешними IP-адресами, так как его основная функция — управление локальным входом в систему. Такое поведение может свидетельствовать об аномальной активности. Рекомендуется уточнить цель установления соединения, определить легитимность назначения, проверить наличие подозрительных модулей, загруженных в память процесса, и при необходимости инициировать процедуру изоляции хоста и расследования.

RV-D-826

Загрузка модуля в процесс odbcconf из нестандартного пути

В попытке избежать обнаружения атакующий может выполнять команды/запускать исполняемые файлы через "посредника" в виде системных программ. Системные исполняемые файлы зачастую подписаны, могут быть занесены в списки исключений средств защиты информации. Одной из таких программ является odbcconf, предназначенная для настройки ODBC-драйверов. При регистрации dll драйвера odbcconf выполнит ее функцию DllRegisterServer. Детектирование опирается на предположение, что в системах, где не развернуто ПО для работы с базами данных, odbcconf не используется, а в системах, где оно развернуто, используется редко. Ввиду этого правило обнаруживает загрузку в память процесса библиотек не из системных директорий. При срабатывании правила рекомендуется проверить целевую DLL, инициирующий процесс и причины запуска утилиты. Необходимо подтвердить легитимность действия и, при наличии признаков компрометации, провести расследование и применить меры по изоляции узла.

RV-D-827

Загрузка модуля в процесс regsvr32 из нестандартного пути

В попытке избежать обнаружения атакующий может выполнять команды/запускать исполняемые файлы через "посредника" в виде системных программ. Использование системной утилиты regsvr32, подписанной и часто исключаемой из контроля средств защиты, может применяться для обхода защитных механизмов. При регистрации DLL через regsvr32 возможно выполнение кода из функции DllMain загружаемой библиотеки, что представляет риск исполнения вредоносного кода. Рекомендуется обратить внимание на процессы regsvr32.exe с модулем, загруженным из путей, отличных от стандартных системных директорий. При подтверждении подозрительной активности следует изолировать хост для предотвращения дальнейшего распространения, провести детальный анализ загруженного модуля и процесса, а также проверить наличие похожих инцидентов в системе и инфраструктуре.

RV-D-828

Выполнение скриптов через regsvr32

В попытке избежать обнаружения команды могут выполняться через "посредника" — системные программы, подписанные Microsoft и нередко включенные в исключения средств защиты. Во время регистрации DLL и элементов OLE в реестре Windows через regsvr32 может выполняться код из регистрируемого объекта. Детектирование основано на факте загрузки специфических библиотек в процесс regsvr32, не характерных для его обычной работы. При срабатывании правила рекомендуется проверять все случаи загрузки таких библиотек, особенно вне сценариев обновления или установки легитимного ПО. При подтверждении нежелательной активности следует изолировать хост от сети, проанализировать задействованные библиотеки и цепочки процессов, а также проверить инфраструктуру на аналогичные случаи.

RV-D-829

Загрузка модуля в процесс rundll32 из нестандартного пути

Атакующие часто используют легитимные системные исполняемые файлы (Living off the Land Binaries, LOLBins) для обхода защитных решений. Один из таких файлов — rundll32.exe, который позволяет загружать и выполнять DLL-библиотеки. В рамках легитимного поведения rundll32.exe загружает модули из системных директорий Windows. Однако загрузка библиотек из нестандартных путей (например, временных директорий, пользовательских папок или сторонних каталогов) может свидетельствовать о попытке обхода механизмов защиты, включая обход контроля приложений, антивирусов или EDR. При срабатывании правила рекомендуется проверить путь загружаемой DLL, проанализировать ее цифровую подпись и происхождение, исследовать цепочку запуска rundll32.exe и родительские процессы, а также проверить права учетной записи, инициировавшей запуск. При подтверждении подозрительной активности следует начать расследование и временно изолировать хост.

RV-D-830

Загрузка процессом rundll32 модулей для выполнения скриптов

В попытке избежать обнаружения атакующий может выполнять команды или запускать исполняемые файлы через "посредника" — легитимные системные программы, которые часто подписаны и считаются доверенными. Одной из таких программ является rundll32.exe. В ней есть возможность использовать для выполнения команд языки JavaScript или VBScript через указание в аргументе rundll32 схем javascript: или vbscript: соответственно. После схемы атакующим указывается метод RunHTMLApplication из файла mshtml.dll и далее соответствующий код. Данное правило выявляет случаи загрузки этих скриптовых движков процессом rundll32.exe. При срабатывании рекомендуется проверить контекст запуска процесса, убедиться в легитимности используемых скриптов и происхождения командной строки. При подтверждении подозрительной активности необходимо начать расследование инцидента и при необходимости временно изолировать пострадавший хост.

RV-D-831

Запросы к API Telegram подозрительным процессом

В рамках своей работы ВПО может взаимодействовать с ботами Telegram, которые могут использоваться в качестве сервера управления (далее C2). К примеру, бэкдор RingSpy отправляет файлы на управляющий сервер с использованием сетевого ресурса токен бота/sendDocument, а текст — токен бота/sendMessage. Таким образом, выявление подобных обращений может свидетельствовать о возможном взаимодействии с С2 через Telegram. В случае возникновения активности рекомендуется опросить пользователя, ответственного за учетную запись, которая инициировала активность. Если легитимность запроса подтвердить не удалось, то следует заблокировать учетную запись.

RV-D-832

Подозрительные DNS-запросы к localtoNet домену

Данное правило обнаруживает подозрительные DNS-запросы к доменам, связанным с туннелированием трафика через утилиту localtoNet. Применение этой утилиты может свидетельствовать о попытках атакующих закрепиться в инфраструктуре или скрыть свою активность через использование промежуточного узла для ретрансляции трафика. Это может быть частью более широких атак, направленных на скрытое перемещение внутри сети и обход ограничений безопасности. В случае срабатывания правила рекомендуется уточнить у пользователя причину использования утилиты. Если активность не является легитимной, следует начать расследование и изолировать хост.

RV-D-833

Загрузка amsi.dll необычным процессом

Детектирование загрузки amsi.dll необычным процессом. AMSI.dll — это библиотека динамической загрузки (DLL), связанная с Antimalware Scan Interface (AMSI). AMSI предоставляет интерфейс для интеграции антивирусных продуктов и других средств обнаружения вредоносного программного обеспечения с приложениями и скриптами, выполняемыми на компьютере. Атакующие, стремясь обойти встроенные средства защиты, могут загружать amsi.dll нестандартными или специально подготовленными процессами. Это позволяет им вмешиваться в работу AMSI или полностью обходить его, тем самым скрывая выполнение вредоносного кода от антивирусных решений. В рамках детектирования отслеживается загрузка библиотеки amsi.dll процессами, не связанными с системой или известным легитимным ПО. При срабатывании правила необходимо определить, какой процесс загрузил библиотеку, и проверить, не использовались ли при этом техники обхода AMSI. В случае подозрительной активности рекомендуется временно заблокировать УЗ или хост и провести расследование на предмет попыток обхода защитных механизмов.

RV-D-834

Маскировка запуска PowerShell

PowerShell — это мощный интерактивный интерфейс командной строки и среда написания сценариев в Windows. Атакующие могут использовать PowerShell для выполнения ряда действий, включая сбор информации, загрузку вредоносного кода и выполнение команд. В рамках техники маскировки (masquerading) PowerShell может быть переименован, перемещен в другую директорию или запускаться через сторонние оболочки, чтобы скрыть свое истинное происхождение. Такое поведение часто используется для обхода защитных решений, которые ориентируются на известные пути запуска. Обнаружение запуска PowerShell вне стандартного каталога C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe может свидетельствовать о попытке маскировки. Рекомендуется проверить путь к исполняемому файлу, инициирующий процесс, аргументы запуска, а также загрузку подозрительных модулей или сетевую активность. При наличии признаков компрометации — изолировать хост и начать расследование.

RV-D-835

Создание запланированной задачи через FileCreation

Запланированные задачи — это один из встроенных механизмов Windows, позволяющий выполнять действия по расписанию или при наступлении определенных условий. Атакующие могут использовать планировщик задач для закрепления в системе (persistence) или выполнения вредоносного кода с повышенными привилегиями. В нормальных условиях задачи создаются с использованием интерфейсов ОС, таких, как schtasks.exe или COM API, и сохраняются в стандартной директории C:\Windows\System32\Tasks. Однако при прямом создании или модификации этих файлов вручную, без использования штатных инструментов, может фиксироваться событие FileCreate. Такое поведение может свидетельствовать о попытке обхода защитных механизмов или использования нестандартного способа создания задачи. Рекомендуется проверить, какой процесс инициировал создание файла, а также проанализировать его содержимое и запуск. Убедитесь, что действия не связаны с легитимным ПО или системной активностью. При наличии признаков вредоносного поведения изолируйте хост и начните расследование.

RV-D-836

Эксплуатация уязвимости в WinRAR - CVE-2023-38831

CVE-2023-38831 — это критическая уязвимость в программе сжатия WinRAR, которая позволяет атакующим выполнить произвольный код на компьютере пользователя. Уязвимость заключается в запуске файла с произвольными командами при открытии легитимного файла из архива, в результате чего может быть произведено выполнение полезной нагрузки. Данное правило детектирует подобную эксплуатацию. При срабатывании правила следует проанализировать события на целевом хосте. Если выявленная активность окажется подозрительной, необходимо инициировать внутреннее расследование и временно заблокировать учетную запись инициатора до завершения проверки.

RV-D-837

Изменение ключа реестра Debugger отладчика AeDebug

Правило нацелено на обнаружение изменения значения ключа реестра Debugger в ветке AeDebug, которое может быть использовано атакующими для закрепления в системе. Данный ключ позволяет определить, какое приложение будет запускаться при сбое процесса. Заменив путь к легитимному отладчику на вредоносное приложение или DLL, атакующий может добиться выполнения своего кода с повышенными правами при сбое системных процессов. Изменение данного параметра нередко используется в рамках обеспечения механизмов постоянства, особенно после первоначального проникновения. При срабатывании правила необходимо определить, какой процесс произвел изменение, от имени какого пользователя, а также оценить легитимность действия. В случае подозрительной активности следует провести дальнейшее расследование и, при необходимости, восстановить оригинальные значения ключа.

RV-D-838

Смена ассоциации запуска файла

Атакующие могут закрепиться в системе, запустив вредоносное содержимое, инициируемое ассоциацией типов файлов. При открытии файла проверяется программа по умолчанию, используемая для открытия файла, также называемая ассоциацией файлов. Выбранные ассоциации файлов хранятся в реестре Windows и могут редактироваться пользователями, администраторами с помощью встроенной утилиты assoc или программами, имеющими доступ к реестру. Правило нацелено на мониторинг смены ассоциации через реестр. При этом исключается вариант смены при помощи утилиты OpenWith. При срабатывании правила необходимо установить, какой процесс внес изменения, от имени какого пользователя, и была ли операция ожидаемой. Если обнаружена подозрительная активность, рекомендуется восстановить исходные ассоциации и провести дополнительный анализ системы на предмет других признаков компрометации.

RV-D-839

Добавление в AppCert DLL полезной нагрузки

Атакующие могут закрепиться в системе и/или повысить привилегии, запустив вредоносный контент, запускаемый библиотеками DLL AppCedevice_time, загруженными в процессы. Библиотеки динамических ссылок (DLL), указанные в разделе AppCertDLLs в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ загружаются в каждый процесс, который вызывает используемые функции интерфейса прикладного программирования (API) CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW или WinExec. Атакующие могут воспользоваться этим, чтобы заставить систему загружать и выполнять вредоносную DLL в контексте доверенных процессов. Правило направлено на выявление добавления DLL-файлов в реестр через AppCertDLLs. При срабатывании необходимо установить, какая DLL была добавлена, какой процесс выступил инициатором, а также проанализировать сопутствующие действия (изменения файлов, сетевую активность, задания планировщика). При подтвержденных признаках компрометации следует изолировать хост и провести расследование.

RV-D-840

Добавление в Appinit DLL полезной нагрузки

Атакующие могут закрепиться в системе и/или повысить привилегии, выполняя вредоносный код, запускаемый библиотеками DLL AppInit, загруженными в процессы. Dynamic Link Libraries (DLLs), указанные в значении AppInit_DLLs в разделах реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows или HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows, загружаются в каждый процесс, использующий user32.dll. Почти все пользовательские процессы в Windows обращаются к user32.dll, поэтому загрузка AppInit_DLLs происходит часто. Правило нацелено на выявление добавления полезной нагрузки в виде dll-файла через реестр в Appinit DLL. При срабатывании правила рекомендуется определить, какой процесс инициировал изменение, проверить наличие других признаков вредоносной активности (загрузка исполняемых файлов, сетевые подключения) и при необходимости изолировать хост для дальнейшего анализа.

RV-D-841

Подмена системных файлов специальных возможностей

Атакующие могут закрепиться в системе и/или повышать привилегии, выполняя вредоносный код, запускаемый с помощью функций специальных возможностей Windows. Например, заменяя исполняемые файлы, отвечающие за "залипание клавиш" (sethc.exe) или "центр управления" (utilman.exe), на командную строку (cmd.exe) или другую программу, обеспечивающую работоспособность на экране авторизации и не требующую авторизации. Правило нацелено на выявление попыток подмены исполняемых файлов или связанных с ними ключей реестра. При срабатывании правила рекомендуется проверить содержимое затронутых файлов и ключей реестра, определить, кто инициировал изменение, и выявить сопутствующую подозрительную активность — создание или перемещение исполняемых файлов, сетевые подключения, новые задачи в планировщике и другие признаки дальнейшей вредоносной активности. При наличии признаков компрометации стоит изолировать хост и начать расследование.

RV-D-842

Обход UAC с помощью ключа реестра DelegateExecute

С помощью изменения ключей реестра HKCU:\open\command, \environment\windi и \environment\systemroot можно обойти подтверждение прав администратора для запуска вредоносного программного обеспечения. Данное правило выявляет попытку обхода контроля учетных записей пользователей (UAC) через модификацию реестра, а именно — ключа HKCU:\Software\Classes\Folder\shell\open\command. При создании параметра DelegateExecute со значением (Empty) в этой ветке реестра возможно выполнение вредоносного кода с повышенными привилегиями без запроса UAC. Это происходит потому, что Windows использует механизм автоматического делегирования выполнения при наличии DelegateExecute, не требуя подтверждения прав администратора. Этот метод активно используется вредоносными программами для эскалации привилегий без взаимодействия с пользователем. При срабатывании правила рекомендуется проверять процессы, инициировавшие изменение ключа, особенно если это нестандартные или неизвестные исполняемые файлы. Следует обратить внимание на активность пользователя и наличие признаков автоматического запуска вредоносного кода. При наличии признаков компрометации рекомендуется временно изолировать систему, провести антивирусное сканирование, анализ сетевой активности и исследовать механизм автозагрузки.

RV-D-843

Отключение CrashDump через изменение реестра

Данное правило выявляет изменения в параметре реестра, отвечающем за включение создания CrashDump — дампа памяти при аварийном завершении процесса. Отключение этой функции через запись в ветке реестра SYSTEM\CurrentControlSet\Control\CrashControl позволяет атакующим скрывать следы сбоев и аварийных остановок программ, что усложняет последующий анализ инцидентов и расследование атак. Такое поведение часто используется в целях обхода средств обнаружения и предотвращения реагирования на инциденты. При срабатывании правила необходимо проверить инициатора изменения, изучить контекст активности и определить, было ли отключение сделано легитимно. В случае подозрений рекомендуется провести расследование, восстановить параметры системы.

RV-D-844

Создание подозрительного потока в mstsc.exe

Процесс mstsc.exe предназначен для подключения к удаленным рабочим столам с использованием протокола RDP (Remote Desktop Protocol). Данное правило обнаруживает удаленное создание потока в процессе mstsc.exe процессом, расположенным в потенциально подозрительном месте. Этот прием часто используется атакующими для перехвата некоторых API, используемых DLL, загружаемыми mstsc.exe во время аутентификации по RDP, с целью кражи учетных данных. При обнаружении необходимо изучить происхождение процесса-инициатора, проверить целостность и легитимность задействованных файлов и провести расследование на предмет возможного вмешательства или компрометации системы. Если изменения не подтверждены как легитимные, следует предпринять меры по ограничению доступа и начать расследование.

RV-D-845

Создание и удаление файла за короткий промежуток времени

Атакующие могут использовать командную строку (cmd.exe) для выполнения автоматизированных сценариев, при которых файл создается и вскоре удаляется. Это позволяет минимизировать следы в системе и затруднить анализ инцидента. Подобный подход реализован, например, в RingSpy. Данный прием может использоваться для временного сохранения полезной нагрузки, скриптов или других вспомогательных компонентов, необходимых на этапе инициализации атаки. В данном правиле рассматриваются исключительно случаи, когда действия выполняются с помощью интерпретатора командной строки, поскольку такая активность от другого легитимного ПО может быть частью штатной работы. При срабатывании следует проверить, какой файл был создан и удален, и каким образом он использовался между этими действиями. В случае подозрительной активности — инициировать изоляцию хоста и провести расследование.

RV-D-846

Изменение чувствительных параметров RDP

Атакующие могут изменять чувствительные параметры службы удаленного рабочего стола (RDP) через реестр для обхода настроек безопасности, скрытого подключения к сессиям пользователей (shadowing), запуска программ при установлении RDP-сессии или замены служебной библиотеки TermService, что позволяет закрепиться в системе или выполнить произвольный код. Эти действия могут быть частью сценариев persistence и defense evasion. Детектирование основано на фиксации изменений в ключевых ветках реестра, связанных с RDP. При срабатывании правила необходимо установить пользователя, от имени которого были внесены изменения в реестр, и оценить легитимность этой активности. Если действия не связаны с административными задачами или групповыми политиками, следует изолировать хост от сети, сменить пароль учетной записи, от имени которой производились изменения, и провести анализ на наличие следов компрометации.

RV-D-847

Порт RDP по умолчанию изменен на нестандартный

Удаленный рабочий стол (RDP) — это распространенная функция в операционных системах. Она позволяет пользователю входить в удаленную систему, используя интерактивный сеанс с графическим интерфейсом пользователя. Microsoft называет свою реализацию протокола удаленного рабочего стола (RDP) службами удаленного рабочего стола (RDS). Когда атакующий изменяет порт RDP на нестандартный, это может помочь ему обойти стандартные механизмы защиты и проникнуть в систему без обнаружения. Обнаружение таких изменений важно для обеспечения безопасности, так как это может указывать на потенциальные попытки атакующих получить несанкционированный доступ к системе.

RV-D-848

Изменена очередь загрузки драйвера Sysmon

Обнаружены изменения в очереди загрузки драйвера Sysmon. Если драйвер Sysmon настроен на загрузку после другого зарегистрированного сервиса, он не сможет загрузиться вместе с ним. Это может указывать на попытку атакующих изменить приоритет загрузки драйвера Sysmon, что может привести к его неправильной работе или отключению. Подобная атака может использоваться для обхода мониторинга безопасности, который осуществляется драйвером Sysmon, и скрыть свои действия на зараженной системе. При срабатывании правила рекомендуется проверить, кем и при каких условиях было изменено значение Altitude в соответствующем ключе реестра, сопоставить его с эталонной конфигурацией, восстановить корректное значение и перезапустить службу Sysmon, а также проанализировать журналы на предмет других признаков компрометации.

RV-D-849

Изменение разрешения доступа к каналу Winevt через реестр

Изменение разрешений доступа к каналу Winevt через реестр представляет собой потенциальную тактику атакующих для изменения настроек безопасности и получения несанкционированного доступа к системным событиям Windows. Атакующие могут попытаться вмешаться в ключ реестра ChannelAccess, чтобы изменить настройки доступа к каналу событий Windows, например, добавить себя в список разрешенных пользователей или групп. Обнаружение подобных вмешательств в реестр и изменений доступа к каналу событий Windows критически важно для обнаружения и предотвращения потенциальных атак, поскольку это может сигнализировать о попытке получить привилегированный доступ к системным данным и манипулировать ими. При обнаружении подобных действий следует немедленно реагировать, анализировать источник вмешательства и принимать меры по восстановлению целостности системы и усилению ее защиты.

RV-D-850

Изменение фона рабочего стола через реестр

Обнаружение изменения фонового изображения рабочего стола через модификацию ключей реестра. Такая техника часто применяется вредоносными программами для демонстрации записки с требованием выкупа или другого навязчивого изображения на фоне рабочего стола пользователя. При срабатывании правила рекомендуется определить, какой процесс инициировал изменение, проверить наличие других признаков вредоносной активности (загрузка исполняемых файлов, сетевые подключения), и при необходимости — изолировать хост для дальнейшего анализа.

RV-D-851

Отключение в реестре HECI

Обнаруживает изменения ключа реестра HypervisorEnforcedCodeIntegrity (HECI) и установку значения Enabled в 0, чтобы отключить функцию Hypervisor Enforced Code Integrity. Это позволяет атакующему загружать неподписанный и недоверенный код для выполнения в ядре. При срабатывании правила рекомендуется проверить, каким процессом и пользователем было изменено значение параметра, определить, было ли это связано с администрированием или потенциальной вредоносной активностью, восстановить корректное значение и перезагрузить систему для применения настроек, а также провести анализ журналов событий и активности на хосте, чтобы выявить другие признаки компрометации и исключить возможность повторного изменения параметра.

RV-D-852

Отключение Административных общих ресурсов при запуске

Правило детектирует отключение Административных общих ресурсов через реестр. Административные общие ресурсы — это скрытые сетевые ресурсы, созданные операционными системами Microsoft Windows NT, которые предоставляют системным администраторам удаленный доступ к каждому дисковому тому в системе, подключенному к сети. При срабатывании правила рекомендуется проверить, каким пользователем и процессом было изменено значение параметра, определить, является ли это частью штатных административных действий или результатом потенциальной вредоносной активности, восстановить исходное значение параметра для обеспечения доступа администратора и проанализировать журналы событий на наличие других признаков попыток скрыть активность или ограничить удаленное администрирование.

RV-D-853

Отключение контроля учетных записей пользователей

Данное правило обнаруживает изменение системных настроек, влияющих на работу контроля привилегий через реестр. Подобные модификации могут быть использованы для обхода встроенных средств защиты и выполнения несанкционированных действий с повышенными правами. При выявлении события рекомендуется проверить инициатора изменения, связанные процессы и общий контекст активности, чтобы определить, является ли действие легитимным. Если установлено, что изменение выполнено несанкционированно, следует начать расследование и сбросить пароль учетной записи, инициировавшей активность.

RV-D-854

Включение в реестре DNS-over-HTTPS

Правило детектирует изменения в ветках реестра, отвечающих за функции включения DNS-over-HTTPS. Атакующие могут использовать DNS-over-HTTPS для маскировки интернет-активности или процесса утечки данных. При включении этой функции теряется возможность видеть такие данные, как тип запроса, ответ и IP-адрес источника, которые часто используются для выявления подозрительной активности. При срабатывании рекомендуется проверить, кто и каким процессом внес изменения, проанализировать сопутствующую сетевую активность на предмет необычных DNS-запросов, оценить необходимость использования DNS-over-HTTPS в текущей среде, а при выявлении подозрительных действий — рассмотреть возможность отключения данной функции и начать расследование на предмет выявления других индикаторов компрометации или подозрительных действий.

RV-D-855

Установка нового значения DNS ServerLevelPluginDll

Данное правило выявляет изменение параметра реестра ServerLevelPluginDll, который определяет путь к DLL-библиотеке, загружаемой в контексте службы DNS-сервера Windows. Подобная модификация позволяет подключать пользовательские или вредоносные плагины, что дает возможность атакующим выполнить произвольный код с правами службы DNS — часто это привилегии уровня SYSTEM и потенциально полный контроль над контроллером домена. При выявлении изменений рекомендуется проверить инициатора и контекст активности, чтобы оценить легитимность действия. В случае подозрений следует предпринять меры по восстановлению исходных настроек, ограничению доступа к управлению DNS и провести расследование инцидента с целью выявления возможной компрометации.

RV-D-856

Разрешение удаленного соединения между анонимными компьютерами

В Windows существуют параметры реестра, изменение которых может ослабить встроенные механизмы безопасности и открыть возможности для удаленного взаимодействия с системой. Включение значений AllowAnonymousCallback, AllowDCOMReflection и OnlyUseLatestCLR может указывать на попытку обойти стандартные ограничения доступа или подготовку к удаленному выполнению кода через механизмы WMI, DCOM или .NET. Значение AllowAnonymousCallback позволяет устанавливать удаленные подключения к WMI между компьютерами без доверительных отношений. AllowDCOMReflection разрешает анонимный доступ к DCOM-интерфейсу, а OnlyUseLatestCLR может повлиять на поведение .NET-приложений, запуская их всегда на последней установленной версии CLR, что может быть использовано для обхода настроек совместимости или защиты. Данное правило отслеживает случаи включения этих параметров реестра, что может быть признаком активности атакующего, использующего fileless-техники или настраивающего систему под дальнейшую атаку. При срабатывании правила рекомендуется проверить, кем было выполнено изменение (пользователь и процесс), а также установить, связано ли оно с легитимной административной задачей. Если источник изменений неизвестен или вызывает подозрения, необходимо провести расследование и при необходимости изолировать систему.

RV-D-857

Модификация скрытых ключей Проводника

Данное правило выявляет попытки изменения параметров отображения скрытых и системных файлов в проводнике Windows через модификацию соответствующих ключей реестра. Этот прием нередко используется вредоносными программами для сокрытия своей активности от пользователя. Атакующий может изменить значения ключей Hidden и ShowSuperHidden, чтобы скрыть вредоносные файлы и затруднить их обнаружение. Такие изменения могут указывать на попытку уклонения от обнаружения и свидетельствовать о компрометации системы. При срабатывании правила необходимо проанализировать процесс, инициировавший изменение реестра, и установить, соответствует ли оно легитимной пользовательской или административной активности. В случае отсутствия объяснимых причин следует инициировать дополнительное расследование на наличие вредоносного ПО, включая проверку автозагрузки, задач планировщика и сетевой активности. Также рекомендуется временно изолировать систему от сети до завершения анализа.

RV-D-858

Скрытие запланированной задачи через реестр

Атакующие могут скрывать запланированные задачи в системе, изменяя значение параметра Index в ветке реестра TaskCache. Установка значения DWORD(0x00000000) делает задачу невидимой для стандартных административных инструментов, таких как schtasks /query, что позволяет скрыть следы присутствия и сохранить присутствие в системе. Такая техника может применяться после создания задачи вручную или с помощью вредоносного кода. При срабатывании следует проверить путь в реестре, имя задачи и инициирующий процесс. При наличии подозрительной активности — изолировать хост и провести расследование.

RV-D-859

Подозрительный путь DLL в IME реестре

Атакующие могут использовать механизм Windows Input Method Editor (IME) для незаметной загрузки вредоносных библиотек. Для этого они регистрируют путь к DLL в значении Ime File под ключами HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\*, а затем инициируют загрузку через сообщение WM_INPUTLANGCHANGEREQUEST. Такой подход позволяет внедрить произвольный код в доверенные процессы без явного запуска исполняемого файла и может не сопровождаться подозрительной сетевой или файловой активностью. Подобные пути к DLL в нестандартных и временных директориях (Temp, AppData, Public) являются индикатором возможной компрометации. При срабатывании проверьте целостность указанной библиотеки, инициировавший процесс и историю изменений системного реестра. При подтверждении вредоносного характера изолируйте узел и начните расследование.

RV-D-860

Включение хранение хеша LM

Изменение значения реестра NoLMHash в Windows разрешает системе хранить устаревшие LM-хеши паролей, которые обладают низкой стойкостью к взлому и могут быть использованы атакующими для компрометации учетных данных. Обычно данный параметр установлен в положение, запрещающее хранение LM-хешей. Обнаружение такого изменения указывает на снижение уровня безопасности системы и возможную подготовку к атакам на учетные записи. Рекомендуется проверить причину изменения, убедиться в легитимности операции и при подозрении на компрометацию инициировать расследование.

RV-D-861

Создание билета TGT при помощи хакерской утилиты

Атакующие, обладающие хешем пароля учетной записи KRBTGT, могут подделывать билеты Kerberos, осуществляя атаку, известную как "золотой билет" (Golden Ticket). Золотые билеты позволяют генерировать билеты TGT для любой учетной записи в Active Directory и использовать их для запроса билетов службы (TGS), которые предоставляют доступ к различным ресурсам. Для получения TGS атакующие вынуждены взаимодействовать с Центром распространения ключей (KDC), который работает на всех контроллерах домена, входящих в состав Active Directory. Учетная запись KRBTGT используется службой KDC и отвечает за шифрование и подписание всех Kerberos-билетов. Для ликвидации последствий атаки Golden Ticket необходимо дважды сменить пароль учетной записи KRBTGT. Если билет не выгружается в виде файла, а загружается напрямую в память, и события в журнале Windows отсутствуют, правило не сможет обнаружить активность.

RV-D-862

Дамп LSASS с помощью Python-утилит

Атакующий может попытаться получить данные других учетных записей с помощью дампа системного процесса LSASS (Local Security Authority Subsystem Service), который хранит в своей памяти учетные данные авторизованных пользователей на узле. Данное правило обнаруживает попытку дампа процесса с помощью мониторинга обращения к процессу lsass с маской доступа 0x1fffff и с использованием библиотек python. При срабатывании правила и отсутствии подтвержденной легитимной активности необходимо завершить активные сеансы на пораженном узле, сбросить пароли всех пользователей, активных в момент события, а также провести проверку на наличие инструментов удаленного доступа или подключения к внешним управляющим серверам. При обнаружении признаков внешнего взаимодействия следует заблокировать соответствующий IP-адрес и изолировать хост от сети до завершения расследования.

RV-D-863

Подозрительный доступ к памяти процесса LSASS

Атакующий может попытаться получить данные учетных записей с помощью дампа системного процесса LSASS (Local Security Authority Subsystem Service), который хранит в своей памяти учетные данные авторизованных пользователей на узле. Данное правило обнаруживает предоставление доступа на чтение виртуальной памяти LSASS подозрительным процессам. Существует системное/легитимное ПО, которое обращается к процессу LSASS с правами на чтение виртуальной памяти; данные процессы внесены в исключения в поле aliases:filter (массив exceptions_list). В случае срабатывания правила рекомендуется проверить, что за процесс инициирует доступ к LSASS, возможно, были выполнены команды или запущено нелегитимное программное обеспечение. Если это легитимное ПО в инфраструктуре, то его можно внести в исключения аналогично другим процессам. Если в исключениях есть ПО, которое не используется в инфраструктуре и его активность нужно отслеживать, можно удалить значение или закомментировать существующую строку.

RV-D-864

Дамп LSASS с помощью Диспетчера задач

Правило обнаруживает создание файла lsass.dmp от процесса taskmgr.exe. Это означает, что был создан дамп процесса LSASS (Local Security Authority Subsystem Service), который хранит в своей памяти учетные данные авторизованных пользователей на узле, с помощью процесса Windows Task Manager (Диспетчер задач). Такая активность может свидетельствовать о попытке извлечения учетных данных и часто связана с действиями атакующих. При срабатывании правила необходимо определить, какой именно файл был создан, а также уточнить легитимность активности. Если легитимность не установлена, следует классифицировать событие как инцидент безопасности и инициировать дальнейшее расследование.

RV-D-865

Использование утилиты RDPStrike

Утилита RDPStrike предназначена для извлечения паролей в открытом виде из процесса mstsc.exe. После внедрения вредоносного кода в указанный процесс она устанавливает аппаратные точки останова (hardware breakpoints) на три API-функции: SspiPrepareForCredRead, CryptProtectMemory и CredIsMarshaledCredentialW, что позволяет перехватывать учетные данные и сохранять их в файл во временной директории. Утилита отслеживает создание новых процессов и при обнаружении запуска mstsc.exe автоматически внедряет код с целью кражи данных. При срабатывании правила корреляции и отсутствии подтвержденной легитимной активности рекомендуется завершить активные сессии с зараженного хоста, сбросить пароль учетной записи, активной на данном устройстве, а также проверить наличие подключений к серверам управления. Если сервер управления расположен внутри инфраструктуры, следует изолировать хост, при нахождении во внешней сети — заблокировать соответствующий адрес.

RV-D-866

Отключение системы восстановления через реестр

Правило нацелено на обнаружение модификации веток реестра, которые отвечают за функцию восстановления системы. Мониторинг веток реестра имеет критическое значение для обеспечения безопасности и целостности компьютерных систем. Подобный мониторинг позволяет оперативно выявлять любые изменения, направленные на отключение или модификацию функции восстановления системы, и и реагировать на них. Данные изменения могут привести к серьезным последствиям, таким как потеря данных, угрозы безопасности и нарушение нормального функционирования системы. При срабатывании правила необходимо проверить легитимность изменения, установить, каким пользователем и каким процессом оно было выполнено, проанализировать систему на наличие признаков вредоносной активности и, при необходимости, восстановить настройки восстановления и инициировать дальнейшее расследование.

RV-D-867

Создание WMI-подписки

Подписка на события Windows Management Instrumentation (WMI Event Subscription) представляет собой механизм в Windows для отслеживания событий, происходящих в системе, с использованием WMI. Когда происходит событие, система может реагировать, выполняя предопределенные действия. Использование WMI Event Subscription может иметь потенциальные риски безопасности, так как атакующие могут использовать этот механизм для создания скрытых механизмов слежения или выполнения вредоносных действий в системе. В рамках реагирования на данный инцидент необходимо связаться с лицом, ответственным за узел/учетную запись, и выяснить, чем вызвана данная активность. В случае отсутствия подтверждения легитимности необходимо заблокировать узел/учетную запись до выяснения обстоятельств.

RV-D-878

Закрепление через изменения ключей автозапуска в реестре

Атакующий, с целью обеспечения своего закрепления, может изменить ключи запуска в реестре. Указанная активность позволит потенциальному ВПО запускаться каждый раз при включении системы. Данная активность является аномальной и может говорить об активности ВПО. В случае возникновения активности требуется опросить УЗ инициатора активности. В случае если легитимность подтвердить не удалось — убрать добавленный ключ реестра и заблокировать УЗ инициатора активности на время выяснения обстоятельств инцидента ИБ.

RV-D-885

Удаление метки MOTW Windows

Атакующий может удалить метку безопасности Mark-of-the-Web, которая указывает, что файл был загружен из Интернета, с целью избежать предупреждений или блокировок в Windows. При срабатывании данного правила корреляции необходимо проверить, какие процессы запускались на хосте ранее, от какой учетной записи и в каком контексте. Следует запросить подтверждение легитимности действий у владельца УЗ и при неподтверждении — заблокировать данную УЗ, по возможности изучить источник происхождения файла, у которого удаляют метку MOTW, проверить события на предмет компрометации сети.

RV-D-887

Создание удаленного потока в процессе lsass

Данное правило направлено на детектирование выполнения кода в процессе lsass.exe с помощью создания удаленного потока. Такое поведение позволяет атакующему извлекать учетные данные из памяти процесса или выполнять произвольный код с привилегиями системного процесса. Успешная эксплуатация может привести к компрометации учетных данных, повышению привилегий или дальнейшему распространению в сети. В случае срабатывания правила необходимо запросить разъяснения о причине данной активности у ответственного за учетную запись. При отсутствии объяснений — заблокировать учетную запись, изолировать узел и провести внутреннее расследование.

RV-D-888

Закрепление через Microsoft Office Add-ins

Атакующие могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе. Надстройки Microsoft Office (Office Add-ins) представляют собой дополнительные модули, которые расширяют функциональность приложений Office, таких, как Word, Excel, PowerPoint и Outlook. Они используются для автоматизации задач, интеграции с внешними сервисами или добавления пользовательских функций. При срабатывании правила следует запросить у пользователя цели добавления файла надстройки. При подтверждении инцидента следует заблокировать УЗ инициатора и удалить добавленные файлы надстроек, по возможности изучить их в изолированной среде.

RV-D-889

Закрепление в системе через ключ реестра MyComputer

Это правило обнаруживает изменение значения (Default) в ключе реестра MyComputer и его подразделах, указывающее на назначение исполняемого файла, который будет запускаться при соответствующем действии, например, при очистке диска или других системных операциях. Такая модификация часто используется атакующими для закрепления вредоносного кода в системе (Persistence), позволяя автоматически запускать вредоносные программы при взаимодействии с функциями Windows Explorer. При срабатывании необходимо проверить инициирующий процесс и пользователя, а также провести расследование на предмет возможной активности атакующих.

RV-D-891

Закрепление через Office Test

Атакующие могут использовать ключ реестра Office Test для Microsoft Office, чтобы закрепиться в скомпрометированной системе. В реестре существует ключ Office Test, где пользователь может указать произвольную DLL-библиотеку, которая будет выполняться при каждом запуске приложения Office. Считается, что этот ключ реестра используется Microsoft для загрузки DLL-библиотек в целях тестирования и отладки при разработке приложений Office. Этот ключ реестра не создается по умолчанию при установке Office. При срабатывании правила следует запросить у пользователя объяснение своих действий о вмешательстве в данную ветку реестра. При подтверждении инцидента следует вернуть настройки системы в исходное состояние, заблокировать УЗ инициатора и изолировать добавленные файлы, по возможности изучить их в изолированной среде.

RV-D-895

Создание токена и имперсонация учетной записи

Атакующие могут создавать новые токены и выдавать себя за существующих пользователей, чтобы повысить привилегии и обойти контроль доступа. Правило предназначено для выявления случаев запуска cmd.exe, где в качестве пользователя указана системная учетная запись, а инициатором запуска выступает пользовательская учетная запись. Такое поведение может указывать на попытку атакующего выполнить команды с повышенными привилегиями через манипуляцию токеном. В случае срабатывания правила, рекомендуется уточнить активность с пользователем, инициировавший ее. Если активность подозрительная, то рекомендуется изолировать хост и проанализировать цепочку событий, приведших к запуску команды.

RV-D-897

Эксплуатация Mark-of-the-Web bypass

Уязвимость в 7-Zip позволяет обойти механизм безопасности Windows Mark-of-the-Web (MOTW), предназначенный для защиты пользователей от потенциально опасных файлов, загруженных из интернета. Проблема возникает из-за того, что при извлечении файлов из специально подготовленного архива с меткой MOTW программа не сохраняет метку для извлеченных файлов. Это создает возможность для атакующих выполнять произвольный код от имени текущего пользователя без активации защитных механизмов. При срабатывании правила следует уточнить у пользователя, который открыл архив, происхождение архива и способ его получения. Проверить, были ли внесены в систему изменения, при наличии подозрительной активности и сомнениях в источнике, откуда был получен архив, рекомендуется изолировать хост.

RV-D-898

Использование ssh.exe для кражи NTLM-хеша

Данное правило направлено на детектирование атаки, связанной с использованием ssh.exe для кражи NTLM-хеша через принудительную аутентификацию. Атакующий может запустить ssh.exe с параметром -i, указывая путь к закрытому ключу через UNC, что позволяет инициировать аутентификацию и перехват NTLM-хеша. Успешная эксплуатация данной техники может привести к компрометации учетных данных и дальнейшему распространению атаки в сети. В случае срабатывания правила необходимо уточнить легитимность использования ssh.exe у владельца учетной записи. При отсутствии обоснованного объяснения рекомендуется заблокировать учетную запись, ограничить доступ к узлу, с которого зафиксирована активность, и провести расследование возможной компрометации инфраструктуры.

RV-D-899

Обход UAC через COM-объекты

Атакующие могут использовать COM-модель Windows для обхода контроля учетных записей (UAC) и выполнения кода с повышенными привилегиями. COM (Component Object Model) обеспечивает межпроцессное взаимодействие, позволяя объектам в разных процессах обмениваться данными и вызывать методы друг друга. Этот механизм активно используется в Windows и им можно злоупотребить для эскалации привилегий. Данное правило корреляции нацелено на выявление попыток эксплуатации COM-объектов для повышения прав без взаимодействия с пользователем (UAC bypass). При срабатывании правила рекомендуется в процессе расследования обратить внимание на наличие события Sysmon 7, в котором неизвестный процесс загрузил системную библиотеку cmlua.dll (часто используется в UAC bypass). Если процесс действительно неизвестен, рекомендуется изолировать хост.

RV-D-900

Использование DNS туннеля

DNS Tunneling — это метод кодирования передаваемой информации в DNS запросах. Данный метод может использоваться атакующими для обхода правил межсетевого экранирования и эксфильтрации данных. Правило отслеживает уникальные запросы для одного домена (значения после первой точки). При достижении заданного порога генерируются корреляционные события. В случае возникновения активности рекомендуется изучить процесс, выполняющий DNS-запросы, а также проверить легитимность домена. В случае если легитимность подтвердить не удалось — заблокировать домен и изолировать хост. При легитимности домена требуется добавить его в список исключений excludeDomain.

RV-D-904

Удаленная эксплуатация DCOM объекта IMsiServer

Правило обнаруживает удаленный запуск процессов с помощью DCOM IMsiServer. После получения первоначального доступа атакующий начинает горизонтальное перемещение по корпоративной сети жертвы, используя DCOM IMsiServer, который позволяет удаленно транспортировать полезную нагрузку на удаленный хост и выполнить ее. При срабатывании данного правила необходимо проанализировать, какой объект был передан, под какой учетной записью и в какое время. Опросить ответственного за учетную запись пользователя и при неподтверждении активности — заблокировать учетную запись, по возможности изолировать атакованный хост от сетевого окружения и проанализировать переданную нагрузку в изолированной среде. Проверить активность на атакованном хосте после передачи полезной нагрузки.

RV-D-905

Утечка NTLM через library-ms (CVE-2025-24071)

Уязвимость CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования. Эти компоненты автоматически анализируют файлы с расширением .library-ms, которые могут быть извлечены при распаковке вредоносных архивов. При этом файл может содержать ссылку на SMB-ресурс, что приводит к автоматической NTLM-аутентификации на атакующем SMB-сервере без взаимодействия с пользователем. Это вызывает утечку хеша NTLMv2 учетной записи жертвы, что может быть использовано для дальнейших атак. Данное правило отслеживает создание файлов с данным расширением и подключение по SMB к неизвестному ресурсу, что может быть признаком эксплуатации этой уязвимости. При срабатывании правила необходимо уточнить, кто инициировал создание файла .library-ms и подключение к SMB-ресурсу, а также проверить, соответствует ли подключение назначению хоста. Если активность выглядит подозрительной, следует изолировать хост, расследовать происхождение файла и проанализировать связанные события для подтверждения или опровержения возможного инцидента.

RV-D-910

Изменение чувствительных значений реестра

Правило обнаруживает изменение чувствительных значений реестра, которые могут использоваться для ухода от обнаружения или ослабления защиты при компрометации узла.

RV-D-911

Добавление в Netsh Helper DLL потенциальной полезной нагрузки

Атакующие могут использовать вспомогательные DLL-файлы netsh.exe для запуска произвольного кода при закреплении. Этот запуск будет происходить каждый раз, когда выполняется netsh.exe, что может происходить автоматически, с другой техникой закрепления доступа или если в системе присутствует программное обеспечение (например, VPN), которое использует netsh.exe в рамках своей нормальной функциональности. Netsh.exe — это утилита командной строки, используемая для взаимодействия с настройками сети системы. Она содержит функционал для добавления вспомогательных DLL-файлов, расширяющих возможности утилиты. Пути к зарегистрированным вспомогательным DLL-файлам netsh.exe находятся в реестре Windows по адресу HKLM\SOFTWARE\Microsoft\Netsh. Правило нацелено на выявление добавления файла с расширением .dll по пути software\microsoft\netsh.

RV-D-912

Кража токена доступа из системного процесса

Кража токена доступа SYSTEM полезна в случаях, когда определенные привилегии были отозваны у учетной записи локального администратора через групповую политику. Например, привилегия SeDebugPrivilege может быть удалена из группы локальных администраторов, чтобы затруднить атакующему сброс учетных данных или взаимодействие с памятью других процессов. Однако привилегии не могут быть отозваны у учетной записи SYSTEM, поскольку они необходимы для работы операционной системы. Это делает токены доступа SYSTEM чрезвычайно ценными для атакующих в условиях усиленной безопасности. Некоторые системные процессы, обладают такими токенами и атакующие могут получить этот токен, создав поток к системному процессу, при помощи функции DuplicateTokenEx() могут дублировать токен и использовать его в своих процессах с правами SYSTEM. При возникновении данной активности необходимо опросить владельца учетной записи (УЗ) инициатора активности на предмет совершаемых действий. В случае если подтвердить легитимность не удалось, следует заблокировать УЗ инициатора активности.

RV-D-913

Обнаружение HTML/SVG Smuggling в Windows

Правило предназначено для выявления техники HTML/SVG Smuggling, при которой вредоносные файлы в формате .html, .htm или .svg создаются в критичных директориях пользователя и запускаются в браузере. Техника используется атакующими для обхода фильтров веб-контента и доставки вредоносных файлов через HTML-документы, часто прикрепленные к фишинговым письмам. При возникновении корреляционного события необходимо проверить происхождение обнаруженных файлов и уточнить у пользователя активность.

RV-D-933

Создание удаленного потока c использованием функции LoadLibrary

Обнаружение потенциального использования API CreateRemoteThread и функции LoadLibrary для внедрения DLL в процесс.

RV-D-934

Создание удаленного потока подозрительным процессом

Правило направлено на обнаружение нестандартных процессов, создающих удаленные потоки.

RV-D-935

Кража токена доступа при помощи именованных каналов

Именованные каналы — это форма межпроцессного взаимодействия (IPC), которая позволяет взаимодействовать процессам, изначально не предназначенным для взаимодействия друг с другом. Кража токена доступа при помощи именованных каналов — техника, позволяющая повысить привилегии до локальной системы. Техника реализована за счет функции API ImpersonateNamedPipeClient, которая позволяет серверу именованного канала (тому, кто инициировал взаимодействие) олицетворить токен клиента (тот, к кому было осуществлено подключение через именованные каналы). Стоит отметить, что для кражи токена доступа клиента процесс сервера должен обладать привилегией SeImpersonatePrivilege. Техника Named Pipe Token Impersonation используется различными фреймворками и утилитами, такими как Cobalt Strike, Metasploit (getsystem command), PoshC2. При возникновении данной активности необходимо опросить владельца учетной записи (УЗ) инициатора активности на предмет совершаемых действий. В случае если подтвердить легитимность не удалось, следует заблокировать УЗ инициатора активности.

RV-D-936

Использование утилиты TikiTorch

Данное правило направлено на детектирование использования утилиты TikiTorch, применяемой для выполнения инъекций в процессы с помощью такого метода, как создание удаленного потока. Утилита позволяет атакующему внедрять произвольный код в адресное пространство доверенных процессов, что может использоваться для обхода механизмов защиты, маскировки вредоносной активности и выполнения команд с привилегиями целевого процесса. Успешная эксплуатация может привести к повышению привилегий, выполнению вредоносного кода в контексте целевого процесса или последующему распространению в сети. В случае срабатывания правила необходимо получить разъяснения о причине данной активности от ответственного за учетную запись. В случае отсутствия обратной связи — провести внутреннее расследование, заблокировать учетную запись сотрудника, временно изолировать узел, на котором произошел инцидент.

RV-D-937

Подмена PID родительского процесса

Атакующие могут использовать технику подмены идентификатора родительского процесса (Parent Process ID Spoofing), чтобы скрыть истинное происхождение вредоносного процесса и обойти механизмы обнаружения, основанные на анализе цепочек родитель-потомок. Правило предназначено для выявления попыток подмены PID родительского процесса через анализ событий Sysmon, связанных с созданием процессов (Event ID 1) и загрузкой библиотек (Event ID 7). При обнаружении процесса с неподписанными библиотеками или подозрительными цепочками запуска рекомендуется провести анализ активности, связанной с данным процессом. Проверить параметры запуска подозрительного процесса и его родителя. Уточнить активность с пользователем, указанным в инициирующем процессе (если применимо). Если активность подозрительная, изолировать хост и провести углубленный анализ.

RV-D-938

Внедрение стороннего ПО через отладчик IFEO

Атакующие могут закрепиться в системе и/или повысить привилегии, запустив вредоносный код, запускаемый отладчиками Image File Execution Options (IFEO). IFEO позволяют разработчику подключать отладчик к приложению. При создании процесса к его имени добавляется отладчик, присутствующий в IFEO приложениях, что позволяет запускать новый процесс под управлением отладчика. Правило нацелено на добавление исполняемого файла в виде "хелпера" к другому файлу через реестр.

RV-D-939

Закрепление через Office Template Macros

Атакующие могут использовать шаблоны Microsoft Office, чтобы закрепиться в скомпрометированной системе. Microsoft Office содержит шаблоны, которые входят в состав распространенных приложений Office и используются для настройки стилей. Базовые шаблоны приложения используются при каждом его запуске. Данное правило фиксирует три способа эксплуатации макросов в шаблонах. При частых срабатываний правила обращайте внимание на сообщение, которое выводит оповещение. При срабатывании правила следует запросить у пользователя объяснение своих действий с шаблоном Word или Excel, а также, если был изменен ключ реестра. При подтверждении инцидента следует вернуть настройки системы в исходное состояние, заблокировать УЗ инициатора и изолировать добавленные файлы, по возможности изучить их в изолированной среде.

RV-D-940

Закрепление через COM Hijacking

COM (Component Object Model) — это стандарт, позволяющий разработчикам повторно использовать в своем коде независимые компоненты ПО. При этом им не нужно знать внутреннее устройство данных компонентов, заниматься их совместимостью на разных языках программирования и повторной компиляцией. Атакующие могут закрепиться в системе, выполняя полезную нагрузку, вызванную перехваченными ссылками на объекты Component Object Model (COM). Ссылки на различные объекты COM хранятся в реестре. Для захвата COM-объекта требуется внести изменения в реестр, чтобы заменить ссылку на легитимный системный компонент, что может привести к тому, что этот компонент не будет работать при выполнении. Когда этот системный компонент будет вызван в ходе обычной работы системы, вместо него будет выполнена полезная нагрузка. В случае возникновения активности требуется опросить ответственного за учетную запись инициатора активности. В случае если легитимность подтвердить не удалось, убрать добавленный/измененный ключ реестра и заблокировать УЗ инициатора активности на время выяснения обстоятельств инцидента ИБ.

RV-D-941

Включение переменных среды COR Profiler

Это правило обнаруживает изменение в реестре, связанное с установкой переменных среды для .NET Framework и .NET Core CLR, таких, как COR_ENABLE_PROFILING и COR_PROFILER. Эти переменные могут использоваться атакующими для внедрения вредоносных CLR-профайлеров с целью закрепления, повышения привилегий и обхода защитных механизмов. Настройка подобных переменных указывает на потенциально нежелательную или вредоносную активность. При срабатывании необходимо проверить легитимность изменений, определить инициирующий процесс и пользователя, а также провести анализ системы на предмет угроз. Без подтверждения легитимности рекомендуется ограничить права пользователя и начать расследование инцидента.

RV-D-942

Изменение настроек администратора Winget

Обнаружение изменений в настройках администратора приложения AppInstaller (winget). Winget — это инструмент командной строки для управления пакетами в операционной системе Windows. Он предоставляет удобный способ установки, удаления и обновления приложений через командную строку. Атакующий может изменить конфигурацию и параметры инструмента управления пакетами на операционной системе Windows, чтобы осуществить внедрение вредоносного программного обеспечения, модифицировать источники пакетов для загрузки поддельных приложений или изменить поведение winget с целью нарушения безопасности системы. При срабатывании правила корреляции следует проверить активность с пользователем, который указан как инициатор (src_user_name). В случае подтверждения несанкционированных изменений рекомендуется восстановить исходные настройки Winget и провести проверку системы на наличие вредоносного ПО, начать расследование.

RV-D-943

Зафиксирована подмена файлов экрана заставки Windows

Атакующие могут закрепиться в системе и\или повышать привилегии выполняя вредоносный код, запускаемый с помощью различных функций Windows. Например, заменяя файлы, отвечающие за заставку Windows (screensaver), на "командную строку" (cmd.exe), полезную нагрузку или ВПО. Можно вызвать их исполнение при включении экрана заставки в Windows.

RV-D-957

Использование rsockstun клиента

Rsockstun — это инструмент для создания обратного SOCKS5-туннеля с поддержкой SSL и прокси, позволяющий устройствам за NAT или брандмауэрам безопасно подключаться к удаленному серверу и перенаправлять трафик. Данная утилита используется атакующими для обхода сетевых ограничений и создания защищенных каналов связи. Ранее в отчете от Лаборатории Касперского отмечалось применение rsockstun группировкой Head Mare в атаках на государственные структуры России и Беларуси. При срабатывании правила необходимо проверить и уточнить у пользователя, для чего запускалась данная утилита. Если активность подтвердить не удалось, следует заблокировать IP-адрес, указанный в src_ip, сменить пароль пользователя и начать расследование.

RV-D-1120

Подозрительные обращения к trycloudflare.com

Данное правило выявляет обращения к доменам в зоне trycloudflare.com на основе событий DNS-запросов (Sysmon EventID 22). Такие домены используются при создании временных туннелей через Cloudflare Tunnel, что позволяет атакующим обходить сетевые ограничения и скрывать C2-каналы или доставку полезной нагрузки. Обнаружение DNS-запроса к подобному ресурсу может свидетельствовать о подозрительной активности.

RV-D-1123

Исходящее подключение SYSTEM-процессов к нестандартным портам

Атакующие могут использовать подключения с нестандартными сочетаниями протоколов и портов. Например, протокол HTTPS через порт 8088 или порт 587 вместо традиционного порта 443. Чаще всего к данной технике прибегают для обхода фильтрации или чтобы усложнить анализ сетевого трафика. В качестве реального примера применения подобной техники можно привести группировку OceanLotus. В своих атаках они доставляют бэкдор через документы-ловушки, затем загружают полезную нагрузку, используют side-loading библиотек и запускают бэкдор с привилегиями SYSTEM. Далее связь с C2-сервером устанавливается через TCP на нестандартный порт (14146), что не выглядит как легитимный системный трафик.

RV-D-1140

Произошло выполнение полезной нагрузки при наступлении WMI события

Данное правило детектирует выполнение полезной нагрузки при срабатывании WMI Event Subscription. WMI Event Subscription (подписка на события в Windows Management Instrumentation) представляет собой механизм в операционной системе Windows, который позволяет отслеживать различные события, происходящие в системе, и реагировать на них. Атакующие могут использовать WMI Event Subscription для выполнения вредоносных действий при наступлении определенного системного события, что обеспечивает закрепление в системе. Для получения дополнительной информации о том, какой процесс был запущен, можно использовать события Sysmon с Event ID 1 и 10. В рамках реагирования на данный инцидент необходимо связаться с ответственным за узел/учетную запись и выяснить, чем вызвана данная активность. В случае отсутствия подтверждения легитимности необходимо заблокировать узел/учетную запись до выяснения обстоятельств.

RV-D-1141

Загрузка процессом cmstp модулей для выполнения скриптов

В попытке избежать обнаружения атакующий может выполнять команды или запускать исполняемые файлы через «посредника» — системные утилиты. Такие исполняемые файлы, как правило, подписаны и могут быть внесены в списки исключений средств защиты информации (далее — СЗИ). Одним из таких инструментов является cmstp.exe, предназначенный для добавления и удаления профилей службы диспетчера подключений. Для добавления профилей используется INF-файл, в котором можно указать в секции [UnRegisterOCXSection] путь к COM-объекту в виде .sct-файла. При обработке такого файла cmstp.exe загружает модули jscript.dll или vbscript.dll в зависимости от используемого языка сценария. Такая активность может указывать на попытку обхода механизмов защиты и выполнения произвольного кода с использованием доверенного процесса. При срабатывании правила рекомендуется проверить источник и содержимое используемого INF-файла, установить, запускался ли он пользователем или сторонним ПО, и уточнить действия у пользователя. При отсутствии подтверждений — изолировать хост, сменить пароль пользователя и инициировать расследование.

RV-D-1142

Загрузка DLL системным процессом из подозрительного места

Данное правило отслеживает событие загрузки dll системным процессом (например, расположенным в System32 или SysWOW64) из подозрительного местоположения или из папки с особыми разрешениями, такой как C:\Users\Public. Такая активность может указывать на попытки атакующего внедрить вредоносный код в системные процессы, обойти механизмы безопасности и скрыть следы своей деятельности. Загрузка DLL из нестандартных или незащищенных директорий повышает риск эксплуатации уязвимостей и реализации техник обхода защиты. При срабатывании правила рекомендуется проверить процессы, загрузившие DLL из подозрительных директорий, на предмет легитимности, а также уточнить действия у пользователя. Если подтверждения нет, следует сменить пароль пользователя, изолировать хост и начать расследование.

RV-D-1143

Загрузка RstrtMgr.dll необычным процессом

Правило обнаруживает загрузку библиотеки RstrtMgr.dll процессами, не относящимися к стандартным системным. RstrtMgr.dll — динамическая библиотека, которую атакующие используют в программах-вымогателях для завершения процессов, мешающих шифрованию файлов (например, Conti ransomware, Cactus ransomware). Библиотека используется вредоносным ПО BiBi wiper для Windows. Кроме того, RstrtMgr.dll может применяться для обхода средств анализа, блокируя определенные процессы. При обнаружении события необходимо проверить его легитимность и исследовать хост на наличие аномалий.

RV-D-1147

Создание дампа NTDS.dit

Правило предназначено для выявления попыток создания дампа базы данных NTDS.dit с использованием утилиты ntdsutil, применяемой для управления доменными службами Active Directory. В правиле фиксируются события, связанные с созданием файла ntds.dit. Эксплуатация NTDS.dit позволяет извлечь хеши паролей (включая административные), что упрощает проведение атак типа Pass-the-Hash или Golden Ticket.

RV-D-1163

Изменение политики выполнения PowerShell

PowerShell — командная оболочка Windows, активно используемая как администраторами, так и атакующими. По умолчанию политика выполнения PowerShell ограничивает запуск неподписанных скриптов. Однако атакующие могут изменить эту политику на менее строгую (например, Bypass или Unrestricted), чтобы обойти механизмы безопасности и выполнить вредоносные сценарии. Такое поведение часто связано с попытками уклонения от обнаружения. Правило детектирует изменение политики выполнения PowerShell через создание или изменение соответствующих записей реестра. Рекомендуется проверить легитимность процесса, инициировавшего изменение, и установить, было ли это связано с подозрительной активностью или нарушением политики безопасности.

RV-D-1186

Инъекция AppDomain Manager

AppDomain Manager Injection — техника подмены логики загрузки сборок в .NET Framework. Атакующий размещает рядом с исполняемым файлом конфигурацию *.exe.config с параметрами appDomainManagerAssembly и appDomainManagerType, из-за чего при запуске приложения загружается вредоносная DLL и выполняется код в InitializeNewDomain до основной логики процесса.

RV-D-1208

Удаленный контроль через Chrome Remote Desktop

Chrome Remote Desktop (CRD) — официальное программное обеспечение от Google для удаленного управления компьютером. Замечено, что атакующие устанавливают CRD для скрытого удаленного контроля через инфраструктуру Google, таким образом минуя ограничения NAT и сетевые фильтры. Данное правило выявляет обращения к доменам в зоне googleapis.com на основе событий DNS-запросов (Sysmon EventID 22) и запуск процесса с хешем, принадлежащий бинарному файлу remoting_host.exe, который запускается для установления удаленной сессии.

RV-D-1252

Попытка дампа LSASS c помощью утилиты HandleKatz

Атакующий может попытаться получить данные других учетных записей с помощью дампа системного процесса LSASS (Local Security Authority Subsystem Service), который хранит в своей памяти учетные данные авторизованных пользователей на узле. Данное правило обнаруживает попытку дампа процесса с помощью мониторинга обращения к процессу LSASS с маской доступа 0x1440.