Microsoft Windows System: правила корреляции

RV-D-785

Остановка критичных сервисов

Данное правило направлено на детектирование подозрительных действий, связанных с остановкой критически важных сервисов, обеспечивающих стабильное функционирование системы или приложений. Такое поведение является аномальным для стандартных административных задач и может указывать на попытку атакующего нарушить работу системы, отключить защитные механизмы или подготовить инфраструктуру для дальнейших атак. Обнаружение основывается на событиях остановки служб, таких как Service Control Manager (Event ID 7036) в Windows. Остановка ключевых служб может привести к отказу в обслуживании, снижению уровня безопасности системы или потере данных, что делает своевременное обнаружение и реагирование критически важными для защиты инфраструктуры. В случае срабатывания правила необходимо запросить информацию у ответственного за узел о причинах активности. Если подтверждения легитимности не последовало, рекомендуется ограничить доступ к узлу, с которого произошли подозрительные действия, и инициировать внутреннее расследование.

RV-D-917

Сжатие дамп-файлов средствами 7-Zip

Атакующие могут пользоваться различными утилитами для сжатия или шифрования данных перед их эксфильтрацией. Некоторые сторонние утилиты могут быть предустановлены в ОС, например tar в Linux и macOS или zip в Windows. Также могут использоваться сторонние утилиты, такие как 7-Zip, WinRAR и WinZip, для выполнения аналогичных действий. Данное правило обнаруживает использование 7-Zip для сжатия файла с расширениями ".dmp" и ".dump", что может быть одним из этапов процесса эксфильтрации дампов. В случае срабатывания рекомендуется уточнить у пользователя, который инициировал активность, является ли она легитимной. Если подтверждения нет, рекомендуется начать расследование, проверив активность связанных процессов, сетевых подключений и другие возможные признаки утечки данных.

RV-D-918

Сжатие дамп-файлов средствами WinRAR

Обнаруживает использование WinRAR для сжатия файлов с расширением ".dmp" или ".dump", что может быть одним из этапов процесса эксфильтрации дампов.

RV-D-948

Загрузка файлов с веб-ресурсов стандартными утилитами

В качестве развития своего присутствия в системе, атакующие могут доставлять файлы с удаленных веб-ресурсов. Как правило, источником выступают С2-сервера, которые по веб-протоколам передачи данных направляют полезную нагрузку на хосты жертвы. Чтобы избежать обнаружения, атакующие, как правило, используют LOLBINS для загрузки файлов с удаленных веб-ресурсов.

RV-D-953

Использование Replace.exe

Правило обнаруживает использование файла Replace.exe, который может быть использован для замены файла другим файлом. Replace.exe — это утилита командной строки Windows, которая используется для замены одних файлов другими. Флаг -a, как правило, означает автоматическую замену файлов без запроса подтверждения пользователя. Опасности использования replace.exe с флагом -a могут быть связаны с потенциальной потерей данных или перезаписью важных файлов системы. При возникновении данной активности необходимо опросить владельца учетной записи (УЗ) инициатора на предмет совершаемых действий. В случае если подтвердить легитимность не удалось, то следует заблокировать УЗ инициатора активности.

RV-D-955

Попытка дампа процесса LSASS с помощью Procdump

Атакующий может попытаться получить данные других учетных записей с помощью дампа системного процесса LSASS (Local Security Authority Subsystem Service), который хранит в своей памяти учетные данные авторизованных пользователей на узле. Одним из способов дампа учетных записей является использование утилиты Procdump, входящей в набор Microsoft Sysinternals. Данная утилита позволяет делать дампы процессов. Правило обнаруживает попытку дампа процесса LSASS с помощью мониторинга событий запуска команд, относящихся к синтаксису утилиты Procdump. Правило не свидетельствует о фактическом удачном дампе, оно только указывает на попытку его получения.

RV-D-956

Получение информации о службе RDP через sc.exe

Обнаруживает перечисление и запрос чувствительных служб в системе с использованием sc.exe. Атакующие часто пытаются перечислить службы, запущенные в системе, для выявления потенциальных векторов атак. При возникновении данной активности необходимо опросить владельца учетной записи (УЗ) инициатора на предмет совершаемых действий. В случае если подтвердить легитимность не удалось, то следует заблокировать УЗ инициатора активности.

RV-D-958

Захват учетных данных с помощью Rpcping.exe

Атакующие используют инструмент Rpcping.exe для отправки тестового RPC-соединения на целевой сервер (-s) и принудительной отправки NTLM-хэша в процессе. Этот метод позволяет им захватывать учетные данные, такие как NTLM-хэши, которые затем могут быть использованы для атаки методом "Pass the Hash" или другими способами, использующими скомпрометированные учетные данные. Обнаружение подобного использования Rpcping.exe является важным аспектом обеспечения безопасности системы и помогает предотвратить возможные атаки на учетные данные.

RV-D-960

Cнэпшот базы данных AD средствами ADExplorer

Обнаруживает выполнение программы Sysinternals ADExplorer с флагом "-snapshot" для сохранения локальной копии базы данных активного каталога в подозрительный каталог. Атакующие используют ADExplorer для снятия "снимка" AD с целью последующего анализа в оффлайн-режиме. Это позволяет им провести разведку структуры домена, учетных записей, групп и отношений доверия без непрерывного взаимодействия с контроллером домена, что снижает шансы на обнаружение. При возникновении данной активности необходимо опросить владельца учетной записи (УЗ) инициатора на предмет совершаемых действий. В случае если подтвердить легитимность не удалось, то следует заблокировать УЗ инициатора активности.

RV-D-1022

Отключение или модификация Defender Firewall

Атакующие могут отключать или модифицировать системный firewall, чтобы обойти средства контроля, ограничивающие использование сети. Изменения могут включать отключение всего механизма или же добавление, удаление, изменение отдельных правил. Правило обнаруживает изменение значений ключей реестра, которые указывают на отключение Windows Defender Firewall.

RV-D-1023

Отключение сбора событий EventLog через реестр

Правило обнаруживает изменение значений или ключей реестра, которые указывают на отключение сбора событий EventLog, изменение места сохранения логов системы или изменение параметров автозапуска EventLog.

RV-D-1024

Отключение снапшотов томов

Данное правило направлено на детектирование команд по отключению снапшотов томов. Это позволит отключить диагностику службы теневого копирования томов. Данная активность может быть началом атаки по шифрованию данных, отсутствие резервных копий не даст откатиться к предыдущим версиям томов.

RV-D-1025

Защита от записи для хранилища отключена

Данное правило детектирует изменения реестра, при которых отключается защита от записи для устройств хранения данных. Данный метод часто используется программами-вымогателями, что может быть началом более масштабной атаки.

RV-D-1076

Закрепление через ключ ReflectDebugger утилиты WerFault

Правило обнаруживает изменение значения реестра ReflectDebugger утилиты WerFault. Атакующий может использовать эту технику для закрепления в системе. В значение ключа ReflectDebugger записывается путь к исполняемому файлу, который будет запускаться при вызове werfault.exe -pr <любое_значение>. Такая техника позволяет обойти традиционные механизмы автозапуска, так как задействует малоизвестную функциональность системы. Это правило выявляет попытки установки подобного механизма закрепления, отслеживая изменения ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Hangs\ReflectDebugger либо наличие значений с именем ReflectDebugger в указанном пути.

RV-D-1077

Изменение критичных параметров сервиса

Для закрепления или повышения привилегий в системе атакующий может использовать сервисы. Все сервисы хранятся в реестре по пути Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. При внесении каких-либо изменений в сервис как стандартным путем через services.msc, sc.exe и другие, так и нестандартным путем, например, редактированием реестра через утилиту reg, это будет отражаться в изменениях в соответствующих ключах в реестре. У сервисов существует два критичных параметра с названиями ключей ServiceDll, FailureCommand, которые могут использовать атакующие. Значение ServiceDll используется для изменения пути к исполняемому библиотеке сервиса. Значение FailureCommand предназначено для исполнения файла или команды при ошибке в работе сервиса, в том числе, преднамеренной. Данный метод является более скрытным, чем изменение исполняемого файла сервиса. В данном правиле отслеживаются любые изменения данных параметров.

RV-D-1081

Изменение пути к исполняемому файлу в сервисе

Для закрепления или повышения привилегий в системе атакующий может использовать сервисы. Все сервисы хранятся в реестре по пути Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. При внесении каких-либо изменений в сервис как стандартным путем через services.msc, sc.exe и другие, так и нестандартным путем, например, при редактировании реестра через утилиты reg, regedit.exe, powershell и другие, это будет отражаться в изменениях в соответствующих ключах в реестре. У сервисов существует критичный параметр с названием ключа ImagePath. Данный ключ предполагает указание команды или пути к исполняемому файлу сервиса. Редактирование напрямую этого ключа позволяет атакующему изменить путь к исполняемому файлу сервиса, тем самым при старте сервиса запустится указанный файл или исполнится указанная команда. Правило не отслеживает изменение пути сервиса от утилит, использующих API сервисов. В данном случае все изменения происходят от процесса services.exe. Так как большинство легитимных изменений происходят от имени процесса services.exe, то их отслеживание будет создавать много ложных срабатываний. Также правило содержит исключение для процесса TiWorker.exe. Windows Update TrustedInstaller Worker Process — системный процесс, отвечающий за установку обновлений операционной системы. В исключение добавлены процессы с именами procexp/procexp64.exe и procmon/procmon64.exe. Это утилиты из набора Sysinternals, при их запуске с правами администратора они создают сервис и прописывают в нем путь к своему исполняемому драйверу.

RV-D-1082

Эксплуатация сценариев входа в систему

Атакующие могут использовать сценарии входа в систему Windows, автоматически выполняемые при инициализации входа в систему, для закрепления. Windows позволяет запускать сценарии входа в систему каждый раз, когда определенный пользователь или группа пользователей входят в систему. Это делается путем добавления пути к ветке реестра HKCU\Environment параметра UserInitMprLogonScript со значением файла сценария (.bat).

RV-D-1083

Эксплуатация Active Setup в реестре

Active Setup — это механизм Windows, который используется для запуска программ при входе пользователя в систему. Атакующие часто используют Active Setup в Windows для закрепления в системе, добавляя ключ реестра, который запускает программу при входе пользователя в систему. Active Setup можно использовать, создав ключ в разделе HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ и установив вредоносный путь StubPath. Этот путь указывает на программу, которая будет запускаться при входе пользователя в компьютер. Выполненная от имени пользователя, она будет иметь уровень разрешений, связанный с этой учетной записью.

RV-D-1084

Закрепление в системе через изменение пакетов проверки подлинности

Пакеты аутентификации в Windows имеют решающее значение для управления операционной системой, процессами входа в систему и протоколами безопасности. Эти пакеты, обычно в виде динамических библиотек (DLL), загружаются процессом Local Security Authority (LSA) при запуске системы. Их основная роль заключается в облегчении различных процессов входа в систему и реализации протоколов безопасности, что делает их неотъемлемым компонентом системы аутентификации в Windows. Указанная активность может свидетельствовать о попытках ВПО закрепиться в системе.

RV-D-1085

Эксплуатация драйверов LSASS в реестре

Драйверы LSASS в Windows — это легитимные драйверы, загружаемые подсистемой Local Security Authority для управления различными политиками безопасности. Атакующие могут получить постоянный доступ к скомпрометированным системам, изменив или добавив драйверы, связанные с LSASS. Данную технику использует бэкдор Wingbird, который позволяет подгружать вредоносную .dll процессом LSASS.

RV-D-1086

Эксплуатация Port Monitors в реестре

Атакующие могут использовать мониторы портов для запуска вредоносной DLL во время загрузки системы для закрепления или повышения привилегий. Монитор портов можно установить с помощью API-вызова AddMonitor, чтобы задать DLL для загрузки при старте. Данная DLL может быть расположена в C:\Windows\System32 и будет загружена службой печати, spoolsv.exe, при загрузке, что позволяет запускаться потенциальному ВПО с разрешениями уровня SYSTEM. Также можно загрузить произвольную DLL, прописав полный путь для этой DLL в HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors, создав собственный ключ.

RV-D-1087

Закрепление в системе через эксплуатацию Print Processors

Служба очереди печати (spoolsv.exe) работает за счет dll-библиотек, которые загружаются во время загрузки ПК, и атакующие ими злоупотребляют, выполняя свои dll во время загрузки. Одним из способов добавления dll является изменение определенных веток реестра с указанием нужной dll. Схожая техника реализована в PrintNightmare, где при помощи реестра происходит создание принтера, который указывает на вредоносную dll.

RV-D-1088

Закрепление в системе посредством эксплуатации SSP

Security Support Providers (SSPs) — это динамические библиотеки, которые предоставляют сервисы аутентификации и безопасности, обычно загружаемые процессом LSA. Атакующие могут злоупотреблять поставщиками поддержки безопасности (SSP) для выполнения DLL-файлов при загрузке системы. DLL-файлы Windows SSP загружаются в процесс Локального центра безопасности (LSA) при запуске системы. После загрузки в LSA DLL-файлы SSP имеют доступ к зашифрованным и открытым паролям, которые хранятся в Windows, например, к паролю домена.

RV-D-1089

Создания/изменения ключей поставщиков времени в реестре

Атакующие могут злоупотреблять поставщиками времени для запуска вредоносных библиотек DLL при загрузке системы. Служба времени Windows (W32Time) обеспечивает синхронизацию времени между доменами и внутри них. Поставщики времени W32Time отвечают за получение временных меток из аппаратных / сетевых ресурсов и вывод этих значений другим сетевым клиентам. Атакующие также могут злоупотреблять этой архитектурой для закрепления в системе, в частности, путем регистрации и включения вредоносной библиотеки DLL в качестве поставщика времени.

RV-D-1090

Закрепление через изменение параметров Winlogon

Атакующие могут использовать функции Winlogon для выполнения библиотек DLL и/или исполняемых файлов при входе пользователя в систему для закрепления в инфраструктуре. Модификации этих разделов реестра могут привести к тому, что Winlogon загрузит и выполнит вредоносные библиотеки DLL и/или исполняемые файлы. Указанная активность может свидетельствовать о попытках ВПО закрепиться в системе.

RV-D-1113

Удаленный запуск процесса с помощью DCOM объекта MMC20.Application

Детектируется удаленный запуск процессов с помощью DCOM (dcomexec из Impacket). После получения первоначального доступа атакующий начинает горизонтальное перемещение по корпоративной сети жертвы. Одной из популярных утилит для этих целей является DCOMExec из пакета Impacket с помощью объекта MMC20.Application. MMC20.Application — это COM-объект, позволяющий создавать сценарии для компонентов оснастки MMC. DCOMExec использует метод с именем ExecuteShellCommand в Document.ActiveView для удаленного выполнения команд.

RV-D-1117

Удаленная эксплуатация DCOM объекта ShellWindows

Данное правило обнаруживает удаленный запуск процессов с помощью DCOM (dcomexec из Impacket). После получения первоначального доступа атакующий начинает горизонтальное перемещение по корпоративной сети жертвы. Одной из популярных утилит для этих целей является DCOMExec из пакета Impacket с помощью объектов ShellWindows или ShellBrowserWindow. Этот вид DCOM объектов может эксплуатироваться только на ОС до Windows Server 2012, на более поздних версиях ОС Windows вендор закрыл возможность эксплуатации данного DCOM объекта. Данные COM-объекты имеют возможность запуска произвольного исполняемого файла из-под родительского процесса explorer.exe.

RV-D-1124

Использование вредоносных утилит

Для выполнения вредоносных действий атакующий может использовать утилиты и инструменты, загруженные на хост. Правило обнаруживает использование таких инструментов по их имени, оригинальному имени файла или метаданным.

RV-D-1126

Подозрительный доступ к облачным менеджерам секретов

Атакующие могут получить учетные данные из облачных хранилищ секретов, таких как AWS Secrets Manager, GCP Secret Manager, Azure Key Vault и Terraform Vault. Менеджеры секретов поддерживают безопасное централизованное управление паролями, ключами API и другими учетными данными. При использовании менеджеров секретов облачные сервисы могут динамически получать учетные данные через API-запросы, а не обращаться к секретам, незащищенно хранящимся в текстовых файлах или переменных окружения. Атакующие могут использовать полученные учетные данные для перемещения внутри периметра сети и доступа к конфиденциальной информации.

RV-D-1139

Изучение конфигурации локальной системы

После получения первоначального доступа к цели атакующие в рамках своей активности по изучению локального окружения могут производить разведку установленной операционной системы, программного и аппаратного обеспечения и т.д. Получение данной информации позволяет атакующему подготовить ресурсы для эксплуатации уязвимых систем. Например, к системным утилитам, которые позволяют производить изучение системы, могут относиться systeminfo или driverquery. При срабатывании данного правила требуется узнать у пользователя, ответственного за УЗ, о выполнении данных команд, поскольку активность может быть легитимной, вызванной работами администратора. Если активность подтвердить не удается, следует проанализировать дельту активности на предмет подозрительных действий и заблокировать УЗ инициатора активности.

RV-D-1144

Уничтожение информации на диске в Windows

Атакующие могут использовать методы удаления или порчи данных, чтобы нанести существенный ущерб компании. Это правило направлено на детектирование активности, которая приводит к безвозвратному удалению или искажению данных до состояния, при котором их восстановление становится крайне сложным или невозможным. Рассмотрены стандартные инструменты Windows, которые могут быть использованы для подобных действий.

RV-D-1145

Запуск скрипта из временной директории

Атакующий может использовать временные папки и директории для скрытой загрузки и исполнения вредоносных скриптов. Данное правило обнаруживает запуск скриптов из временной директории.

RV-D-1157

Обнаружено использование службы BITS Jobs

Атакующие для скрытой загрузки файлов или выполнения кода могут использовать службу BITS Jobs (Windows Background Intelligent Transfer). BITS Jobs — это служба с асинхронной передачей файлов с низкой пропускной способностью, которая обычно используется системой или программами для фоновой загрузки файлов, используя доступную полосу пропускания и не прерывая работу других сетевых приложений, для обновлений и других необходимых для системы файлов. Данное правило обнаруживает использование службы BITS Jobs с характерными ключами и командами в интерактивной оболочке cmd и PowerShell.

RV-D-1159

Обнаружение эксплуатации DDE через Office

Атакующие могут воспользоваться динамическим обменом данными (DDE) в Windows для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий одноразовое или непрерывное межпроцессное взаимодействие между приложениями. Атакующие могут внедрять команды DDE в документы Microsoft Office как напрямую, так и через встроенные файлы, чтобы затем использовать их для выполнения кода при открытии пользователем вложений в фишинговых письмах или при обращении к веб-контенту, тем самым обходя использование макросов Visual Basic for Applications (VBA). Данное правило отслеживает ситуации, когда офисный процесс (Word или Excel) инициирует запуск процесса командной строки (cmd) или PowerShell.exe, что может быть подозрительным.

RV-D-1164

Запуск файла без расширения

Атакующий может скрыть отображаемый тип файла с помощью удаления его расширения. В таком случае файл можно визуально замаскировать под папку, что может привести к случайному запуску вредоносного кода пользователем или обходу средств защиты, которые основываются на проверке файлов по их расширению.

RV-D-1169

Журнал событий Windows был очищен

В целях сокрытия следов присутствия в инфраструктуре и затруднения последующего расследования атакующий может очистить журналы событий. Например, для этого могут использоваться встроенные утилиты или стороннее ПО. Обнаружить очистку журнала Security можно по событиям с ID 1102, очистку журналов System и Application — с помощью событий с ID 104. Событие сгенерируется как при удалении журналов через командную строку, так и через графический интерфейс.

RV-D-1170

Добавление исполняемого файла к профилю PowerShell

Атакующие могут использовать профили PowerShell для выполнения вредоносного содержимого при запуске PowerShell. Профиль PowerShell — это скрипт, который запускается при старте PowerShell. PowerShell поддерживает несколько профилей в зависимости от пользователя или хост-программы. Атакующие могут изменять эти профили, чтобы включать произвольные исполняемые файлы и обеспечить тем самым закрепление. Каждый раз, когда пользователь открывает сеанс PowerShell, файл будет выполняться, если не будет использован флаг -NoProfile при его запуске.

RV-D-1174

Запуск файла с двойным расширением

Атакующий может использовать возможности Windows для сокрытия истинного расширения файла. По умолчанию в системе отображается только первое расширение, указанное после первой точки в имени файла. Если в имени имеется две точки и более, то расширение файла, которое будет восприниматься системой как актуальное, будет находиться после последней точки. Техника заключается в том, чтобы заставить пользователя запустить безопасный, по его мнению, файл, за которым может скрываться вредоносное ПО.

RV-D-1176

Изменение конфигурации загрузки безопасного режима

Атакующие могут добавить вредоносные приложения в минимальный набор служб, запускаемых в безопасном режиме, изменяя определенные значения реестра. Этот метод обеспечивает скрытное выполнение вредоносного кода при минимальных возможностях обнаружения, так как в безопасном режиме отключены большинство защитных механизмов, включая антивирусные программы и системы мониторинга. Правило отслеживает несанкционированные изменения в реестре, касающиеся конфигураций безопасного режима и автозагрузки на системах Windows.

RV-D-1177

Выполнение манипуляций над учетной записью с помощью стороннего ПО

После попадания в корпоративную сеть атакующий может попробовать закрепиться в системе через создание новой учетной записи. Данные действия избавляют от необходимости использовать уже скомпрометированные учетные записи или поддержание шелла для вторичного доступа в систему. Создание\изменение\удаление учетных записей является стандартной процедурой при работе администратора, однако для этих действий он должен использовать строго регламентированное ПО. Использование ПО, не соответствующее этому регламенту, выглядит аномальным. Данное правило выявляет использование сторонних утилит для выполнения каких-либо действий над учетными записями.

RV-D-1187

Обнаружен запуск XSL скрипта

XSL — это файлы расширяемого языка таблиц стилей, которые обычно используются для описания обработки и рендеринга данных в файлах XML. Для поддержки сложных операций стандарт XSL включает поддержку встроенных сценариев на различных языках. Атакующие могут встраивать вредоносные скрипты в XSL файлы и запускать их с помощью встроенной утилиты wmic.exe или msxsl.exe, обычно загружаемой отдельно, что позволяет обходить ограничение запуска определенного ПО в системе.

RV-D-1190

Закрепление через Shim

Атакующие используют специальные файлы, называемые базами данных совместимости (SDB), для запуска вредоносного кода при выполнении определенных приложений. SDB — это файлы, которые позволяют исправлять проблемы совместимости приложений с новыми версиями Windows без изменения исходного кода. Атакующие могут создавать свои собственные SDB, содержащие исправления, которые могут повышать привилегии, обходить контроль учетных записей пользователей, внедрять DLL в процессы. Затем атакующие могут устанавливать свои SDB с помощью утилиты sdbinst.exe или вручную через реестр. При запуске приложения, для которого установлена SDB, Windows будет автоматически применять исправления из SDB, тем самым запуская вредоносный код. Правило нацелено на выявление добавления полезной нагрузки через реестр или при помощи sdbinst в реестр базы данных совместимости (SDB).

RV-D-1192

Отключение службы Windows EventLog

Правило обнаруживает команды, которые могут указывать на отключение сбора событий или отключение службы Windows EventLog.

RV-D-1198

Использование утилиты gs-netcat из набора инструментов gsocket

Утилита gs-netcat позволяет устанавливать безопасное TCP-соединение между двумя и более хостами, используя глобальную сеть ретрансляции сокетов (GSRN). Инструмент используется, когда у хостов нет сетевой связности, и активно используется атакующими. В возможности инструмента входит трансляция сетевых подключений, передача данных, доступ к интерактивному шеллу. Правило детектирует создание процесса gs-netdevice_event_category, а также подключение к серверу управления.

RV-D-1199

Туннелирование с использованием ngrok

ngrok позволяет организовать подключение к удаленному хосту из сети Интернет без статического белого IP-адреса. Правило детектирует параметры, с которыми создается процесс ngrok, события создания и изменения файла конфигурации, а также сетевые подключения.

RV-D-1200

RDP подключение с использованием туннеля

Атакующие часто используют RDP для управления скомпрометированным хостом. При отсутствии у них прямого сетевого доступа они могут организовать туннелируемое соединение, например, с использованием ngrok или gs-netcat. Данное правило отслеживает подключение по RDP к хосту при помощи создания туннеля.

RV-D-1203

Загрузка dll-библиотеки средствами mavinject

Данное правило направлено на обнаружение подозрительных действий, связанных с использованием системного компонента mavinject.exe (Microsoft Application Virtualization Injector) для внедрения вредоносного кода в доверенные процессы с использованием параметров /INJECTRUNNING или /HMODULE. Эти параметры позволяют загружать вредоносные DLL в адресное пространство процессов или модифицировать их таблицы импорта. Такое поведение является аномальным для стандартных сценариев использования mavinject.exe и может указывать на попытку атакующего использовать легитимный инструмент для обхода защитных механизмов и выполнения вредоносных операций. Эксплуатация этой техники может привести к выполнению произвольного кода атакующим.

RV-D-1204

Эксплуатация утилиты GrimResource

GrimResource позволяет атакующему выполнять произвольный код в консоли управления Microsoft (mmc.exe) с минимальными предупреждениями системы безопасности, что подходит для получения начального доступа и обхода средств защиты. Добавляя ссылку на уязвимый ресурс APDS в соответствующий раздел StringTable созданного MSC-файла, атакующие могут выполнять произвольный javascript в контексте mmc.exe.

RV-D-1210

Отключение ETW провайдера PowerShell

Правило обнаруживает изменение значений ключей реестра, которые указывают на отключение ETW провайдера PowerShell от сессии или использование команд системной утилиты logman. Эти действий позволяют отключить генерацию событий PowerShell_Operational.

RV-D-1212

Скачивание удаленного файла средствами hh.exe

Данное правило направлено на обнаружение подозрительных действий, связанных с использованием системного компонента hh.exe (Microsoft HTML Help Executable) для запуска удаленных файлов. Такое поведение является аномальным для стандартных сценариев использования hh.exe и может указывать на попытку атакующего использовать легитимный процесс для загрузки и выполнения кода с удаленного ресурса. Обнаружение выполняется при анализе командной строки процесса hh.exe, где в параметрах указывается URL или IP-адрес. Атака, основанная на запуске удаленных файлов через hh.exe, может быть частью более сложных сценариев компрометации, включая доставку вредоносного ПО, удаленное выполнение кода и эксфильтрацию данных. Использование доверенного системного процесса затрудняет обнаружение таких атак средствами традиционного мониторинга и защиты.

RV-D-1213

Создание подозрительного процесса от hh.exe

Данное правило направлено на обнаружение подозрительных действий, связанных с использованием системного компонента hh.exe (Microsoft HTML Help Executable) для выполнения вредоносного кода. Такое поведение является аномальным для стандартных сценариев использования hh.exe и может указывать на попытку атакующего использовать легитимный процесс для обхода защитных механизмов и выполнения вредоносных операций. Обнаружение выполняется при анализе событий создания процессов, где hh.exe выступает в роли родительского процесса. Чаще всего такие события связаны с запуском специально подготовленных CHM-файлов (Compiled HTML Files), содержащих вредоносные команды или скрипты. Успешная эксплуатация этой техники может привести к загрузке и выполнению вредоносного ПО, сбору данных, эскалации привилегий или дальнейшему продвижению атакующего в инфраструктуре.

RV-D-1214

Ослабление защиты или мониторинга системы

Правило обнаруживает команды или изменения в реестре, которые могут указывать на ослабление защиты или мониторинга системы.

RV-D-1215

Зафиксирована атака Golden Ticket

Атакующие, у которых есть хэш пароля учетной записи KRBTGT, могут подделывать билеты Kerberos, производя атаку, также известную как золотой билет. Золотые билеты позволяют атакующим генерировать билеты для любой учетной записи в Active Directory. Используя золотой билет, атакующие затем могут запрашивать билеты службы предоставления билетов (TGS), которые предоставляют доступ к определенным ресурсам. Золотые билеты требуют, чтобы атакующие взаимодействовали с Центром распространения ключей (KDC) для получения TGS. Служба KDC работает на всех контроллерах домена, которые являются частью домена Active Directory. KRBTGT является учетной записью сервиса Kerberos Key Distribution Center (KDC) и отвечает за шифрование и подпись всех заявок Kerberos. Правило направлено на использование в явном виде утилит mimikatz и Rubeus с параметрами, указывающими на атаку Golden Ticket.

RV-D-1217

Удаление истории RDP подключений через реестр

В ветках реестра HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default и HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers содержится информация, полезная для восстановления хронологии RDP-подключений и анализа активности. Servers хранит список серверов (имена или IP) с настройками для каждого подключения. Default содержит общие настройки и данные последних сеансов. Эти ветки помогают изучить историю сеансов и выявить подозрительную активность. Поэтому атакующие могут стремиться удалить эти данные, чтобы скрыть свои следы. Данное правило нацелено на выявление попыток удалить историю RDP подключений, которая содержатся в реестре.

RV-D-1218

Удаленное подключение к узлу через туннелирование в VSCode

Правило срабатывает при установлении соединения с сервером для удаленного управления узлом с помощью функции редактора кода VSCode для использования туннелей — ключа "tunnel" в командной строке. Правило также обнаруживает запросы доменов Microsoft, такие, как tunnels.api.visualstudio.com и devtunnels.ms, которые нужны для первичной конфигурации сервера и запроса доступных кластеров, что указывает на создание туннеля.

RV-D-1223

Удаление временных RDP файлов в Windows

Удаление сетевых файлов, таких как RDP-кэш или файл Default.rdp, является одной из техник сокрытия активности атакующего в системе. Эти файлы могут содержать полезную информацию для расследования инцидентов, включая историю подключений, адреса хостов и другие данные, которые могут указать на компрометацию. Данное правило отслеживает попытки удалить временные файлы RDP через PowerShell или cmd и попытки стереть историю RDP подключений через реестр.

RV-D-1229

Добавление источника загрузки в Winget

Данное правило обнаруживает попытки добавления новых, потенциально небезопасных или непроверенных репозиториев в менеджер пакетов Windows (Winget) с помощью команды winget source add. По умолчанию Winget использует доверенный источник Microsoft Store, и добавление сторонних источников значительно повышает риски безопасности. Это может быть индикатором попытки атакующего установить вредоносное ПО, обойти политики контроля приложений или внедрить скомпрометированный пакет в систему.

RV-D-1231

Создание Self Extracting Package в подозрительном месте

Правило обнаруживает использование iexpress.exe для создания Self Extracting Package по файлам Self Extraction Directive (SED), расположенным в потенциально подозрительных каталогах (Temp, ProgramData, Tasks и др.). Атакующие могут использовать IExpress как LOLBin для упаковки и развертывания вредоносных исполняемых файлов в нестандартные пути, минуя базовые политики.

RV-D-1232

Потенциальное выполнение скрипта через WScript/CScript

Правило детектирует запуск скриптов JS, VBS и WSF через интерпретаторы wscript.exe или cscript.exe из временных и пользовательских директорий, таких как Temp и AppData. Подобная активность характерна для работы дропперов и загрузчиков, которые используют запись в незащищенные каталоги для обхода базовых политик ограничения ПО. Мониторинг данных путей позволяет выявить выполнение вредоносного кода на этапе закрепления в системе.

RV-D-1233

Подозрительное выполнение Regasm/Regsvcs с нестандартным расширением

Regsvcs.exe и Regasm.exe — это легитимные утилиты Microsoft .NET Framework, используемые для регистрации .NET-сборок. Однако атакующие могут использовать эти утилиты (LOLBINs) для выполнения вредоносного кода, маскируя его под безобидные файлы с нестандартными расширениями — например, .jpg, .txt или .gif. Это правило выявляет попытки запуска Regsvcs или Regasm с параметрами, содержащими файлы с подозрительными расширениями, что может указывать на технику маскировки вредоносной нагрузки или попытку обхода защиты на этапе исполнения.

RV-D-1235

Разведка доменных трастов

Детектирует выполнение команд для выявления доверительных отношений (трастов) между доменами. Атакующие могут собирать информацию о доверительных отношениях, которая может быть использована для поиска путей бокового перемещения в многодоменных инфраструктурах или лесах Active Directory. Доверительные отношения позволяют пользователям доверенного домена получать доступ к ресурсам доверяющего домена. Полученная информация может помочь атакующему в проведении атак SID History Injection, Pass the Ticket и Kerberoasting.

RV-D-1236

Эксфильтрация данных через finger.exe

Атакующий может использовать встроенную утилиту finger.exe для эксфильтрации данных или установки связи с C2-серверами, обходя традиционные средства контроля и фильтрации. Утилита взаимодействует с удаленным сервером через протокол Finger (TCP/79), который редко применяется в легитимной деятельности. Правило выявляет запуск finger.exe с подозрительными аргументами, содержащими символ "@", в сочетании с сетевым подключением к порту 79.

RV-D-1238

Скачивание файла средствами MpCmpRun.EXE

Правило направлено на обнаружение использования Windows Defender MpCmdRun для скачивания файлов. MpCmdRun.exe — легитимная консольная утилита Microsoft Defender, предназначенная для управления антивирусом, обновления сигнатур и выполнения сервисных операций. Атакующие могут применять MpCmdRun.exe для доставки полезной нагрузки, обхода ограничений на загрузку файлов, маскировки сетевой активности под легитимную работу защитного ПО и снижения вероятности детектирования.

RV-D-1240

Изменение атрибута для скрытия файла через PowerShell

Атакующие нередко используют сокрытие файлов и каталогов для обхода систем обнаружения. Большинство операционных систем поддерживают концепцию "скрытых" файлов, чтобы избежать их случайного изменения пользователями. Сокрытие файлов может быть частью более сложных атак, таких как внедрение вредоносного ПО, кража данных или обеспечение присутствия атакующих в системе. Данное правило отслеживает действия по сокрытию файлов путем изменения атрибута, отвечающего за их видимость, с использованием PowerShell.

RV-D-1241

Запуск потенциально поддельного экземпляра hxtsr.exe

HxTsr.exe — это исполняемый файл Microsoft под названием Microsoft Outlook Communications. Он является частью приложений Outlook и обычно находится в подпапке WindowsApps каталога C:\Program Files. Любые экземпляры hxtsr.exe, расположенные вне этой папки, могут быть вредоносным ПО, маскирующимся под легитимный процесс.

RV-D-1243

Запуск aspnet_compiler.exe для компиляции в нетипичной директории

Данное правило фиксирует использование утилиты aspnet_compiler.exe для компиляции кода, расположенного в нетипичных или временных директориях. Использование доверенного бинарного файла Microsoft для сборки и выполнения кода позволяет атакующим обходить политики ограничения запуска приложений и скрывать вредоносную активность под видом легитимных процессов .NET. Такая активность может свидетельствовать о попытках выполнения произвольного кода через технику side-loading или использование подписанных приложений в качестве проводников атаки.

RV-D-1244

Атака Bad USB Windows

BadUSB — это тип атак, основанных на использовании скомпрометированных или специально модифицированных USB-устройств. Такие устройства внешне выглядят как обычные флеш-накопители или периферийные устройства, но содержат в себе микроконтроллеры, позволяющие имитировать действия клавиатуры или других HID-устройств (Human Interface Device). Это дает возможность атакующему выполнять произвольные команды на целевой системе без ведома пользователя. Уникальность BadUSB заключается в том, что они эксплуатируют доверие операционной системы к периферийным устройствам. Когда такое устройство подключается, система автоматически распознает его как легитимное HID-устройство и позволяет ему вводить команды, как если бы это делал пользователь с помощью клавиатуры.

RV-D-1245

Обнаружение компиляции исходного кода на Windows

Атакующие могут использовать доставку вредоносных файлов в виде исходного кода для обхода защитных механизмов, предназначенных для блокировки исполняемых файлов. Такие файлы требуют компиляции перед запуском, что обычно выполняется с помощью csc.exe, msbuild.exe, dotnet.exe, vbc.exe или gcc.exe. Данное правило позволяет выявлять подозрительные случаи компиляции исходного кода на целевой системе, которые могут свидетельствовать о попытках обхода защитных мер.

RV-D-1246

Создание обратного туннеля через ssh.exe

Правило предназначено для обнаружения использования ssh.exe с подозрительными параметрами, позволяющими создавать обратные SSH-туннели с помощью флага -R. Оно отслеживает попытки скрытого удаленного доступа, связывая выполнение команды с IP-адресом для обратного подключения. Правило помогает выявить атаки, использующие SSH для обхода средств защиты и продвижения по сети.

RV-D-1248

Удаленная отладка браузера Windows

Атакующие могут использовать легитимный функционал отладки браузера для перехвата сеанса пользователя. Данные действия позволяют получить доступ к ресурсам и информации в браузере от имени жертвы.

RV-D-1249

Подключение к SMB папке по протоколу QUIC

Правило обнаруживает подключение к общей SMB-папке через протокол QUIC. Такой тип активности может быть легитимным, например, при использовании скриптов или инструментов администрирования, однако также может указывать на подозрительную активность — исследование сетевых ресурсов, несанкционированный доступ или обход стандартных политик безопасности.

RV-D-1250

Выполнение Sysinternals PsSuspend

Sysinternals PsSuspend — это утилита для управления состоянием процессов, позволяющая приостанавливать и возобновлять их выполнение на уровне ядра. Правило предназначено для выявления использования данной утилиты, которую атакующие могут применять для временного отключения системных или защитных компонентов в рамках техник закрепления или уклонения от обнаружения. Хотя PsSuspend является легитимным инструментом администрирования, его применение на пользовательских или критически важных системах без соответствующего контекста может свидетельствовать о подозрительной активности.

RV-D-1251

Сокрытие данных в атрибутах файлов NTFS

Атакующие могут скрывать вредоносные данные или бинарные файлы в метаданных атрибутов файлов, а не в самих файлах. Один из таких атрибутов — это ADS (Alternate Data Streams), который предназначен для хранения метаданных объекта в NTFS. Скрытие вредоносных данных в этом атрибуте позволяет обходить защитные механизмы, такие как инструменты для сканирования статических индикаторов и антивирусные программы. Данное правило направлено на выявление попыток извлечения данных из ADS с использованием команд PowerShell, а также на анализ событий Sysmon для обнаружения подозрительных операций с созданием ADS-потоков.

RV-D-1253

Эксплуатация утилиты LaZagne

LaZagne — это инструмент с открытым исходным кодом, предназначенный для извлечения паролей и учетных данных, сохраненных на локальных компьютерах. Он способен находить пароли в популярном программном обеспечении, используя различные методы хранения (открытый текст, API, собственные алгоритмы, базы данных и т. д.). При срабатывании данного правила необходимо запросить у пользователя подтверждение легитимности его действий. Если действия не подтверждаются, следует изолировать хост, заблокировать учетную запись пользователя, провести очистку от вредоносного программного обеспечения и проверить сетевое окружение на предмет компрометации других систем.

RV-D-1254

Использование утилиты Smbtakeover

Smbtakeover — это утилита для реализации техники по отвязке 445-го порта устройств Windows без загрузки драйверов, перезагрузки целевого устройства и без загрузки модулей в LSASS. Скрипт позволяет удаленно, используя WMI, "освободить" 445-й порт от прослушивания, что в дальнейшем может использоваться для relay-атак либо перенаправления трафика на Responder для получения NTLM-хешей.

RV-D-1255

Скрытие файла через attrib.exe

Атакующие часто прибегают к сокрытию файлов и каталогов для обхода средств обнаружения. В большинстве операционных систем предусмотрен механизм "скрытых" файлов, предназначенный для их защиты от случайного изменения пользователями. Однако скрытие файлов может использоваться и в рамках более сложных сценариев, включая распространение вредоносного программного обеспечения, несанкционированный доступ к данным или закрепление присутствия в системе. Данное правило фиксирует попытки изменения видимости файлов за счет установки соответствующего атрибута с использованием утилиты attrib.exe.

RV-D-1256

Использование инструмента SharpMove

Правило фиксирует запуск хакерской утилиты SharpMove, которая позволяет на удаленном компьютере создавать запланированные задачи, выполнять "SCM"-запросы, запускать VBScript с использованием WMI и выполнять другие различные действия.

RV-D-1258

Перехват RDP соединения

Данное правило направлено на детектирование атаки RDP Hijacking, при которой атакующий может получить несанкционированный доступ к активным сеансам удаленного рабочего стола (RDP) без ведома пользователя. Атака осуществляется путем подключения к сеансу с использованием команд mstsc или tscon, что позволяет атакующему перехватить управление и выполнять действия от имени легитимного пользователя. Детектирование срабатывает при обнаружении попыток использования shadow-соединений или переключений сеансов, что позволяет своевременно выявить возможное злоупотребление административными привилегиями. Успешная эксплуатация может привести к компрометации учетных данных, нарушению конфиденциальности данных и несанкционированному выполнению действий от имени пользователя.

RV-D-1259

Установка удаленной сессии при помощи WMI

Данное правило детектирует установку удаленной сессии при помощи WMI. Существует два протокола удаленного подключения через WMI — DCOM и WinRM. Данное правило обнаруживает оба вида указанных ранее удаленных подключений. Основное отличие заключается в том, что для протокола DCOM пространством имен, к которому выполняется подключение, является стандартное пространство cimv2, а в случае использования WinRM — пространство interop. Отследить, откуда было совершено подключение, можно по смежному событию 4624 по LogonID инициатора активности. Оба вида данной активности являются аномальными и могут свидетельствовать о попытках атакующего удаленно подключиться к хосту при помощи WMI.

RV-D-1260

Использование утилит для создания снимков экрана

Атакующие могут делать снимки экрана для сохранения информации во время проведения атаки. Снимки экрана могут содержать конфиденциальные документы, данные аутентификации, информацию для проведения платежных операций и иную конфиденциальную информацию. Информация со снимков может помочь атакующему сформировать вектор для дальнейшего распространения.

RV-D-1261

Извлечение содержимого буфера в Windows

Атакующие могут использовать командлет PowerShell Get-Clipboard и утилиты nirsrc_process_cmdline, copyq для кражи данных из буфера обмена в системах Windows. Данное правило отслеживает попытки запуска этих инструментов с параметрами, указывающими на обращение к буферу обмена, что может свидетельствовать о попытках эксфильтрации данных.

RV-D-1263

Отключение или модификация Windows Audit Log Policy

Для сокрытия своих действий в системе атакующий может отключить или изменить политику аудита. Правило обнаруживает команды и события, которые указывают на изменение или сброс политик локального аудита для логирования событий.

RV-D-1264

Отключение ETW провайдера .NET

Правило обнаруживает изменение значений ключей реестра, которые указывают на отключение ETW-провайдера .NET от сессии или использование команды изменения окружения. Эти действия позволяют отключить генерацию событий, связанных с .NET.

RV-D-1266

Эксплуатация уязвимости VSCode CVE-2023-46944

Правило выявляет подозрительную цепочку выполнения процессов, при которой процесс Git запускает скрипт или команду, а его родительским процессом является Visual Studio Code. Активность может указывать на эксплуатацию уязвимости CVE-2023-46944, связанной с некорректной обработкой параметра fsmonitor в конфигурации Git-репозитория. В уязвимых версиях Visual Studio Code и некоторых расширениях (включая GitLens) открытие специально подготовленного репозитория может приводить к неявному выполнению произвольной команды, указанной в конфигурационном файле репозитория, без явного согласия пользователя. Эксплуатация возможна при открытии вредоносного репозитория в доверенном контексте (Workspace Trust) либо при использовании уязвимых версий компонентов и может привести к выполнению кода с правами пользователя, открывшего репозиторий.

RV-D-1267

Поиск процессов с уязвимыми модулями

Правило фиксирует попытки получения списка определенных DLL- или EXE-файлов с использованием утилиты tasklist.exe. Подобная активность может указывать на действия, направленные на выявление идентификатора процесса (PID), в котором используется указанная библиотека. В дальнейшем это может быть использовано для выполнения нежелательных операций, включая создание дампа памяти процесса или иные потенциально опасные действия.

RV-D-1268

Запуск ssh.exe с подозрительными параметрами

Правило предназначено для обнаружения использования ssh.exe с параметрами, позволяющими выполнять команды в обход защитных механизмов. Атакующий может задействовать PermitLocalCommand, LocalCommand или ProxyCommand для выполнения команд без явного подключения к удаленному серверу, что может указывать на попытку скрытого выполнения действий, обхода системных политик или маскировки вредоносной активности.

RV-D-1269

Разведка учетных записей

Правило нацелено на обнаружение массовой выгрузки списка аккаунтов и групп, как локальных, так и доменных. Атакующие могут попытаться получить список действительных учетных записей, имен пользователей или электронных адресов в системе или в скомпрометированной среде. Эта информация может помочь атакующим определить существующие учетные записи, что облегчает проведение дополнительных атак, таких как перебор паролей (brute-force), целевой фишинг (spear-phishing) или захват учетных записей (например, [Valid Accounts](T1078)).

RV-D-1272

Удаленное выполнение команд с помощью PsExec

Данное правило направлено на обнаружение подозрительных действий, связанных с использованием утилиты PsExec для удаленного выполнения команд через временные службы. Для детектирования используются события 4697 и 5145. Эксплуатация этой техники позволяет атакующему выполнять команды с повышенными привилегиями и может быть частью сложной атаки.

RV-D-1273

Обнаружена попытка дампа NTDS.dit

Атакующие для получения данных всех учетных записей в домене могут попытаться получить дамп файла NTDS.dit. Данный файл содержит информацию обо всех пользователях в домене, включая хеши их паролей. Данное правило позволяет обнаружить использование команд, характерных для получения дампа NTDS.dit или создания теневой копии диска для последующего извлечения файла из нее.

RV-D-1275

Получение учетных данных из реестра

Данное правило направлено на детектирование атак, связанных с извлечением конфиденциальной информации из реестра Windows. Атакующий может использовать стандартные утилиты, такие как reg.exe, wmic.exe или PowerShell, для поиска и извлечения ключей и значений, содержащих чувствительные данные, например, пароли (DefaultPassword, AutoAdminLogon) или параметры учетных записей. Успешная эксплуатация позволяет получить доступ к критически важным данным для дальнейшего продвижения по сети, повышения привилегий или компрометации систем.

RV-D-1276

Запуск интерпретатора командной строки от WinRAR

Правило выявляет запуск интерпретатора командной строки (cmd.exe), инициированный процессом архиватора WinRAR (WinRAR.exe). Подобная активность не является типичной для штатного использования архиватора и может указывать на доставку и запуск вредоносной полезной нагрузки через специально сформированный архив. Правило позволяет обнаружить возможную эксплуатацию уязвимости CVE-2023-38831, при которой в одном архиве содержатся несколько файлов с совпадающими именами, что может привести к их последовательному запуску.

RV-D-1279

Выполнение команд в системе от редактора кода VSCode

Правило выявляет запуск командной оболочки cmd.exe или PowerShell из процесса редактора кода Visual Studio Code. Такое поведение может указывать на попытку эксплуатации уязвимости CVE-2023-36867 в расширении GitHub Pull Requests and Issues, связанной с некорректной обработкой файлов формата Markdown и потенциально приводящей к удаленному выполнению команд.

RV-D-1280

Зафиксировано изучение системного времени

После получения первоначального доступа к цели атакующие в рамках своей активности по изучению локального и удаленного окружения могут производить разведку системного времени. Эта информация может быть полезна для выполнения других техник, например, для запуска файла с помощью запланированной задачи или для обнаружения информации о местоположении на основе часового пояса. Атакующие также могут использовать знание системного времени в качестве отсрочки выполнения до определенной даты или времени. Примерами утилит для разведки времени являются w32tm или tzutil. Также стоит отметить, что данная активность часто встречается при работе ВПО, например Ursnif использует утилиту time для разведки системного времени.

RV-D-1282

Несистемный процесс повысил привилегии до системного

Правило выявляет случаи создания процесса с правами SYSTEM из пользовательского процесса. Такая ситуация возможна при эксплуатации уязвимостей, связанных с получением системного токена, например, уязвимостей семейства Potato. Захваченный токен затем используется для запуска процесса от имени SYSTEM с помощью API-вызовов CreateProcessAsUser или CreateProcessWithToken. Детектирование основано на факте, что процесс, изначально не обладающий системными привилегиями, инициирует создание процесса от имени SYSTEM.

RV-D-1288

Загрузка файлов с использованием LOLBins InstallUtil.exe

Атакующие могут попытаться обойти систему защиты, используя для запуска программного обеспечения стандартную утилиту Windows InstallUtil.exe. Данный инструмент позволяет выполнять код в обход политик ограничения запуска приложений.

RV-D-1289

Запуск процесса от другого пользователя

Атакующие могут создать новый процесс с существующим маркером для повышения привилегий и обхода механизмов контроля доступа. Процессы могут быть созданы с маркером и результирующим контекстом безопасности другого пользователя с помощью таких механизмов, как CreateProcessWithTokenW, runas. Правило предназначено для выявления создания процессов с маркером, не связанным с текущим пользователем.

RV-D-1292

Изучение общих сетевых ресурсов

Атакующему может потребоваться информация о сетевых ресурсах в инфраструктуре для дальнейшего продвижения внутри сети (Lateral Movement). Полученные данные позволяют атакующему выявить новые цели и расширить область атаки.

RV-D-1294

Перечисление ключей реестра для разведки

Правило обнаруживает перечисление ключей реестра, которые могут быть интересны при разведке информации об узле, путем выявления команд, используемых для получения информации о ключах реестра.

RV-D-1298

Запуск whoami с правами системы

Атакующий после получения доступа к системе или после повышения привилегий может проверить уровень своих полномочий. Одним из способов это сделать является команда whoami: она показывает, от имени какого пользователя сейчас активна сессия. Правило обнаруживает использование данной команды с привилегиями системы.

RV-D-1300

Сбор информации о сетевых подключениях

После успешной компрометации среды атакующие могут попытаться получить информацию о существующих сетевых подключениях, чтобы спланировать свои дальнейшие действия. Это можно сделать, например, при использовании утилит netstat или net. Полученная информация может быть использована для дальнейшего продвижения по хостам инфраструктуры.

RV-D-1302

Разведка процессов

Правило детектирует выполнение команд для исследования запущенных в системе процессов. Атакующие могут предпринимать попытки получения информации о выполняемых процессах для формирования представления о программном обеспечении и приложениях, работающих на узлах сети. Полученные данные могут использоваться в ходе автоматизированной разведки для определения последующих шагов, включая полное заражение цели или выполнение специфических вредоносных действий.

RV-D-1303

Изменение пароля пользователя или хоста с помощью Ksetup.exe

Изменение пароля текущего пользователя или хоста с использованием утилиты ksetup.exe может создавать существенную угрозу информационной безопасности. Данный инструмент может быть задействован для несанкционированного изменения учетных данных пользователя, например, при компрометации системы или получении доступа к учетной записи без соответствующих прав. В результате изменения паролей возможно расширение уровня доступа к системе, включая получение контроля над конфиденциальной информацией и учетными записями с повышенными привилегиями.

RV-D-1305

Запуск множества подозрительных команд

Данное правило направлено на обнаружение подозрительных действий, связанных с выполнением большого количества легитимных команд за короткий промежуток времени. Такое поведение не характерно для стандартных сценариев административной активности и может указывать на попытку атакующего скрыть вредоносную деятельность или затруднить анализ событий. Обнаружение выполняется при анализе последовательности команд, выполняемых через системные утилиты, такие как cmd.exe, PowerShell или другие доверенные инструменты Windows. Подобная активность может быть связана с разведкой, модификацией системных параметров, отключением защитных механизмов или подготовкой системы к дальнейшим этапам атаки.

RV-D-1306

Скрытие учетной записи через реестр Windows

Атакующий с целью сокрытия своего присутствия в системе может скрыть скомпрометированную или недавно созданную учетную запись в окне входа Windows (окно ввода логина и пароля для аутентификации на хосте). Данная активность является специфичной и может свидетельствовать о действиях атакующего или работе вредоносного ПО. Часто такие манипуляции связаны с активностью майнеров.

RV-D-1311

Дамп памяти ядра через LiveKD

Дамп памяти ядра через LiveKD может использоваться для несанкционированного сбора конфиденциальной информации о системе и пользователях. Обнаружение выполнения LiveKD с флагом "-m" для потенциального дампа памяти ядра может указывать на злонамеренные действия, направленные на получение конфиденциальных данных или эксплуатацию уязвимостей операционной системы. Такая активность может привести к серьезным последствиям, включая утечку информации и нарушение безопасности системы. Обнаружение использования LiveKD с флагом "-m" требует немедленного реагирования и принятия дополнительных мер по обеспечению безопасности.

RV-D-1312

Закрепление через Outlook Home Page

Атакующие могут использовать домашнюю страницу Microsoft Outlook, чтобы закрепиться в скомпрометированной системе. Домашняя страница Outlook — это устаревшая функция, применявшаяся для настройки отображения папок Outlook. Эта функция позволяет загружать внутренний или внешний URL-адрес и отображать его содержимое при каждом открытии папки. Атакующие могут создать вредоносную HTML-страницу, которая будет выполнять определенный код при загрузке домашней страницы Outlook.

RV-D-1314

Попытка дампа оперативной памяти с помощью RdrLeakDiag.exe

Обнаружение использования утилиты rdrleakdiag.exe LOLBIN для дампа памяти процесса указывает на потенциально нежелательную или вредоносную активность. RdrLeakDiag.exe является инструментом, используемым для анализа и создания дампов памяти процессов в Windows, и его использование может быть связано с попытками атакующих изучить или эксплуатировать уязвимости в системе.

RV-D-1315

Скачивание файлов средствами MS-AppInstaller

Обнаружение использования "ms-appinstaller" для потенциальной загрузки вредоносных файлов через AppInstaller.exe. AppInstaller.exe — это ПО, связанное с механизмом установки приложений. MS-AppInstaller является утилитой, которая позволяет устанавливать и обновлять приложения из магазина Microsoft Store и других источников. AppInstaller.exe и MS-AppInstaller тесно связаны и работают вместе для обеспечения процесса установки приложений. Атакующие могут использовать это приложение для установки вредоносного ПО. Такие загрузки могут осуществляться через скомпрометированные источники или в результате фишинговых атак.

RV-D-1318

Скачивание файлов через imewdbld.exe

Обнаружение использования "imewdbld" для загрузки файлов. Файл imewdbld.exe является исполняемым файлом, связанным с Microsoft IME (Input Method Editor). Он используется для работы с расширенными словарями ввода текста.

RV-D-1319

Скачивание файлов через Squirrel.exe

Squirrel.exe — это компонент, используемый во многих приложениях на базе Electron (например, Slack, Teams, Discord и других) для управления обновлениями. Атакующие могут злоупотреблять этим бинарным файлом, чтобы загружать вредоносные файлы на систему, минуя некоторые меры защиты, так как Squirrel.exe считается доверенным исполняемым файлом (LOLBIN). Данное правило предназначено для выявления подозрительной активности, связанной с запуском Squirrel.exe или update.exe с ключами --download, --update или --updaterollback=, а также с указанием URL, что может указывать на попытку загрузки внешнего ресурса.

RV-D-1326

Отключение Privacy Settings Experience в реестре

Обнаружение модификаций реестра, которые отключают функцию Privacy Settings Experience. Privacy Settings Experience (Опыт настройки конфиденциальности) в Windows представляет собой экран, который появляется при входе в новую учетную запись пользователя впервые или после обновления (например, новой сборки или версии Windows 10). На этом экране пользователю предлагается просмотреть или выбрать параметры конфиденциальности для своей учетной записи.

RV-D-1328

Атака CS Policy Modification

Атакующие могут намеренно отключить проверку подписи, используя стандартные возможности Windows или модифицируя ее настройки. Происходит модификация реестра, в частности ключа BehaviorOnFailedVerify, который отвечает за действия в Windows при обнаружении неподписанного драйвера. Также при помощи утилиты bcdedit.exe атакующие могут управлять параметрами загрузчика Windows (Boot Configuration Data, BCD). Она часто используется атакующими для включения тестового режима или отключения проверки целостности системы.

RV-D-1329

Кодирование файла в Base64 с помощью Certutil

Правило обнаруживает кодирование файлов в Base64 с помощью утилиты Certutil.

RV-D-1330

Использование средств виртуализации

Атакующие могут использовать технологии виртуализации, чтобы избежать обнаружения. Запуская вредоносный код внутри виртуального экземпляра, атакующие могут скрыть артефакты, связанные с их поведением, от средств безопасности, которые не могут отслеживать активность внутри виртуального экземпляра.

RV-D-1331

SIP Hijacking Windows

Атакующий может подменить или скомпрометировать библиотеку или компонент операционной системы, который управляет списком доверенных корневых сертификатов. Например, они могут подделать или заменить сертификат с целью обмануть систему в принятии неподписанных или поддельных программ.

RV-D-1332

Изменение политик Windows Defender Firewall

Правило обнаруживает использование системной утилиты netsh, которая отвечает за конфигурацию Defender Firewall и командлетов PowerShell, которые используются для изменения политик фильтрации трафика.

RV-D-1336

Кодирование в Base64 файла в подозрительном каталоге с помощью Certutil

Атакующие могут попытаться затруднить обнаружение или анализ файла путем кодирования его содержимого в системе или при передаче. Правило обнаруживает кодирование файлов в Base64 в подозрительном каталоге с помощью утилиты Certutil.

RV-D-1338

Атака Code Signing Windows

Атакующие могут подписывать вредоносные программы легитимными цифровыми сертификатами или подделывать подписи для обхода проверок доверия. Это позволяет вредоносному ПО выглядеть безопасным, увеличивая вероятность его запуска.

RV-D-1339

Обнаружение стеганографии в Windows

Данное правило выявляет попытки извлечения закодированных команд PowerShell, встроенных в изображения формата PNG с использованием методов стеганографии, созданных утилитами Invoke-PSImage, steghide, stegpy, stegolsb. Подобные действия могут указывать на подготовку к выполнению скрытых вредоносных операций или передачу конфиденциальных данных.

RV-D-1340

Запуск подозрительного cab-файла через msdt.exe

Обнаружено выполнение msdt.exe с использованием флага "cab", который может указывать на подозрительные файлы diagcab со встроенными файлами ответов, использующими CVE-2022-30190. Атакующие могут использовать этот метод для запуска подозрительных файлов в формате .cab, скрывая свои действия за активностью диагностического инструмента Windows. Запуск подобных файлов через msdt.exe может предоставить возможность выполнения вредоносного кода или проведения атаки на систему.

RV-D-1341

Дамп памяти процесса средствами Dotnet-Dump

Обнаруживает выполнение команды "dotnet-dump" с флагом "collect". Выполнение может указывать на потенциальный дамп критических процессов, таких как LSASS.

RV-D-1342

Отключение или модификация Windows Defender

Правило обнаруживает модификацию параметров или отключение Windows Defender (Защитник Windows) с помощью выполнения команд в командном интерпретаторе CMD или PowerShell, изменения ключей в реестре или удаления запланированных задач.

RV-D-1343

Скачивание файлов с IP-адреса через CertOC.EXE

Правило выявляет запуск штатной утилиты Windows CertOC.exe с параметрами загрузки сертификатных данных по прямому IP-адресу, что может свидетельствовать о злоупотреблении легитимным системным бинарным файлом (LOLBAS) для скрытной загрузки полезной нагрузки, установления связи с C2 или обхода механизмов фильтрации и контроля приложений.

RV-D-1344

Выполнение разведки удаленных систем

После успешной компрометации среды атакующие могут попытаться получить информацию об окружении, чтобы спланировать свои дальнейшие действия. Это можно сделать, выполнив команды для перечисления сетевых ресурсов, пользователей, подключений, файлов и установленного программного обеспечения безопасности. В данном правиле будут рассматриваться попытки перечисления окружающих сетевых ресурсов, например при помощи команды net, использования механизма ADSISearcher (данный механизм используется в некоторых скриптах утилиты Powersploit).

RV-D-1345

Необычный аргумент или дочерний процесс Wlrmdr.exe

Обнаруживает выполнение "Wlrmdr.exe" с флагом командной строки "-u", который позволяет всему, что ему передано, быть аргументом API ShellExecute, что позволит атакующему выполнить полезную нагрузку с бинарными файлами. Детект также нацелен на любые необычные дочерние процессы, порожденные от "Wlrmdr.exe", в качестве дополнения к тем, которые имеют телеметрию "ParentImage".

RV-D-1346

Необычное выполнение приложений через AtBroker.exe

Обнаруживает запуск сторонних приложений при помощи вспомогательных технологий (Assistive Technology Applications) через "Atbroker.EXE". AtBroker.exe — это программное обеспечение для управления виртуальным рабочим столом или виртуальными окнами. Такие приложения могут предоставлять дополнительные возможности доступности, такие как управление окнами с помощью голоса, альтернативные методы ввода или персонализированные настройки интерфейса.

RV-D-1347

Добавление расширения в браузер средством CLI

Данное правило направлено на обнаружение подозрительных действий, связанных с добавлением расширений в браузер с использованием командной строки (CLI). Такие действия могут быть использованы атакующим для автоматизированной установки вредоносных или нежелательных расширений, которые могут изменять поведение браузера, собирать конфиденциальные данные пользователя или выполнять другие вредоносные операции.

RV-D-1348

Сбор структуры AD cредствами Ldifde

Обнаружено выполнение утилиты Ldifde.exe для экспорта структуры Active Directory. LDIFDE (LDAP Data Interchange Format Data Exchange) — это утилита, которая позволяет выполнять импорт и экспорт данных в каталог Active Directory. Атакующие могут использовать Ldifde.exe для сбора информации о структуре каталогов, пользователях, группах и других объектах в сети, что является предварительным этапом для дальнейших действий, таких как эксфильтрация данных.

RV-D-1349

Экспорт структуры AD через csvde.exe

Обнаружено выполнение утилиты csvde.exe для экспорта структуры Active Directory. CSVDE (Comma Separated Values Data Exchange) — это утилита, предназначенная для импорта и экспорта данных в каталог Active Directory в формате CSV (Comma Separated Values).

RV-D-1350

Использование устаревшей версии PowerShell v2

Атакующие для скрытия своей активности могут использовать старую версию движка PowerShell, так как в таком случае выполненные команды не будут отображены в событиях 400, 800, 4103 и версия PowerShell v2 не поддерживает защиту AMSI.

RV-D-1351

Скачивание файлов через PresentationHost.exe

Правило предназначено для выявления подозрительного использования утилиты PresentationHost.exe, которая запускает XAML Browser Applications (файлы с расширением .xbap). Несмотря на свою легитимную функцию в рамках .NET Framework, данный исполняемый файл может быть использован атакующими для загрузки файлов из внешних источников с целью обхода традиционных механизмов контроля и доставки вредоносного кода. Поскольку PresentationHost.exe является доверенным компонентом Windows, его использование в подобных сценариях затрудняет обнаружение атаки и может быть частью техники Living off the Land.

RV-D-1352

Запуск файла из Корзины

Правило обнаруживает запуск процесса из Корзины (Recycle Bin) или из папки, маскирующейся под Корзину.

RV-D-1353

Подозрительная DLL загружена средствами CertOC.exe

Обнаруживает, когда пользователь устанавливает сертификаты с помощью CertOC.exe для загрузки целевого DLL-файла. CertOC.exe — это файл, используемый для установки и управления сертификатами в операционной системе Windows. Флаг "loadDLL" указывает на то, что CertOC.exe загружает динамическую библиотеку (DLL).

RV-D-1355

Импорт ключа реестра из ADS

Импорт ключа реестра из ADS (Alternate Data Stream) представляет собой процесс загрузки данных реестра из альтернативного потока данных, который может содержаться в файле на диске. Это означает, что помимо основного содержимого файла, в нем могут содержаться и другие скрытые данные, которые не видны обычным образом. Обнаружение импорта ключа реестра из ADS важно, так как это может быть использовано зловредным программным обеспечением для скрытого хранения конфигурационной информации или других данных. В связи с этим обнаружение такого импорта становится важным для обнаружения потенциальных угроз и неправомерной деятельности. Это связано с обнаружением импорта альтернативного потока данных в реестр с помощью regedit.exe, так как оба процесса направлены на выявление скрытых данных или действий в реестре, которые могут быть пропущены стандартными методами анализа.

RV-D-1357

Установка root сертификата средствами CertMgr.exe

Обнаружено выполнение утилиты CertMgr.exe с флагом 'add' для установки нового сертификата системы. Атакующие могут установить корневой сертификат на взломанную систему, чтобы избежать предупреждений при подключении к контролируемым веб-серверам. Корневые сертификаты являются частью инфраструктуры открытых ключей (PKI) и используются для проверки подлинности сертификатов удостоверяющих центров. Если атакующий установит свой собственный корневой сертификат на целевой системе, то затем сможет подделывать сертификаты для любых веб-сайтов или служб без предупреждения или обнаружения со стороны браузера или клиента.

RV-D-1358

Генерация окна ввода пароля через Zenity

Zenity — утилита, которая позволяет генерировать графические диалоговые окна, сгенерированные через командную строку или через выполнение shell-скриптов (на Windows это cmd, на Linux это bash). Атакующие могут подделывать окна ввода пароля для получения и сбора учетных данных пользователей.

RV-D-1359

Запуск PowerShell-окна в скрытом режиме

Атакующие могут использовать PowerShell в скрытом режиме для выполнения вредоносных действий, избегая их обнаружения пользователями. Запуск PowerShell с параметром -WindowStyle Hidden позволяет скрыть окно выполнения, что затрудняет визуальное обнаружение активности. Это может использоваться в атаках для обхода защиты, выполнения вредоносных скриптов, автоматизации процессов без уведомления пользователя. Данное правило отслеживает попытки запуска PowerShell с параметром -WindowStyle Hidden через события Windows Security, Sysmon и PowerShell Operational.

RV-D-1360

Отключение ETW провайдера Windows Defender

Правило обнаруживает изменение значений ключей реестра или команды, которые указывают на отключение ETW провайдера Windows Defender для отключения сбора событий журнала Windows Defender/Operational. Подобная активность нехарактерна для стандартных административных сценариев и может указывать на попытку атакующего скрыть свое присутствие и затруднить сбор телеметрии защитными средствами Windows.

RV-D-1366

Запуск MSBuild для выполнения кода

Данное правило направлено на детектирование подозрительных действий, связанных с использованием системного компонента MSBuild.exe для выполнения произвольного кода. Такое поведение не характерно для стандартных сценариев использования MSBuild.exe и может указывать на попытку атакующего использовать легитимный инструмент для обхода защитных механизмов и запуска вредоносных операций. Детект выполняется при анализе событий создания процессов, где MSBuild.exe запускается с аргументами, содержащими пути к файлам с расширениями .csproj, .xml, .proj и другими. Злоупотребление MSBuild.exe позволяет скрывать вредоносную активность, так как процесс подписан Microsoft и входит в стандартный набор инструментов Windows. Успешная эксплуатация этой техники может привести к выполнению вредоносного кода, сбору данных, эскалации привилегий или дальнейшему продвижению атакующего в инфраструктуре.

RV-D-1367

Атака Pass the Ticket

Данное правило направлено на детектирование подозрительных действий, связанных с использованием техники Pass-the-Ticket (PtT), которая позволяет атакующему аутентифицироваться в системе, применяя полученные билеты Kerberos вместо ввода учетных данных. Такое поведение отклоняется от стандартных сценариев аутентификации и может свидетельствовать о попытке атакующего получить доступ к системам с использованием поддельных или скомпрометированных билетов. Детект выполняется при использовании утилит Mimikatz и Rubeus и их подозрительных команд. Успешная эксплуатация PtT может привести к несанкционированному доступу к критическим ресурсам, использованию привилегированных учетных записей и продвижению атакующего по сети.

RV-D-1368

Скачивание файла средствами ProtocolHandler

Правило предназначено для выявления использования компонента ProtocolHandler.exe для загрузки файлов по сетевым протоколам, таким как HTTP, HTTPS или FTP, что может указывать на попытку скрытной доставки вредоносных загрузок без использования очевидных инструментов. Атакующие могут применять ProtocolHandler в рамках техник обхода средств защиты и установления каналов управления и контроля, поскольку эта легитимная утилита Windows может быть использована в обход систем мониторинга. Загруженные файлы, как правило, сохраняются во временных каталогах кэша, что затрудняет их обнаружение.

RV-D-1369

Подозрительный агент обновления Windows

Правило предназначено для выявления подозрительного использования агента обновления Windows (wuauclt.exe) без указания флагов командной строки, что может свидетельствовать о попытках обхода защитных механизмов и маскировки запуска вредоносных процессов. Атакующие могут использовать wuauclt.exe для запуска других программ в обход контроля со стороны систем защиты, так как данный агент является доверенным компонентом Windows и может применяться в рамках техники маскировки под легитимные процессы.

RV-D-1371

Запуск замаскированного исполняемого файла через conhost.exe

Правило предназначено для выявления запуска исполняемых файлов через процесс conhost.exe, замаскированных под документы или изображения (например, с расширениями .pdf, .png, .jpg и другие), размещенных во временных каталогах пользователя или системы. Подобное поведение нехарактерно для штатной работы Windows и может свидетельствовать о попытке скрытого запуска вредоносной нагрузки с использованием маскировки под легитимные файлы.

RV-D-1372

Отключение логирования событий IIS

Правило обнаруживает команды, которые могут использоваться атакующими для отключения логирования событий сервера IIS.

RV-D-1373

Вызов функции DllUnregisterServer через Msiexec.exe

Обнаружение MsiExec, загружающего DLL и вызывающего ее функцию DllUnregisterServer, является типичным признаком процесса деинсталляции программного обеспечения. MsiExec — это исполняемый файл Windows Installer, используемый для управления установкой и удалением программ. При деинсталляции программы MsiExec может загружать DLL, отвечающие за удаление программных компонентов, и вызывать их функции, такие как DllUnregisterServer, для корректного удаления следов установки. Мониторинг и обнаружение этих действий могут быть полезны для контроля установленного программного обеспечения и обеспечения целостности системы.

RV-D-1374

Создание нового процесса с помощью Taskmgr.exe

Обнаруживает создание процесса через диспетчер задач Windows. Это может быть попытка обойти User Account Control (UAC) — механизм безопасности Windows.

RV-D-1376

Запуск произвольной DLL библиотеки средствами Msiexec.exe

Атакующие могут использовать msiexec.exe для проксирования выполнения вредоносной полезной нагрузки. Msiexec.exe — это утилита командной строки для установщика Windows, поэтому обычно ассоциируется с выполнением инсталляционных пакетов (.msi).

RV-D-1378

Запуск процесса AddInUtil.exe из подозрительной директории

Правило предназначено для обнаружения запуска легитимной утилиты AddInUtil.exe из нестандартных директорий Windows. По умолчанию этот бинарный файл располагается в каталогах .NET Framework (например, C:\Windows\Microsoft.NET\Framework\), поэтому его выполнение из пользовательских или временных папок считается аномалией. Такое поведение может указывать на попытку использования системного инструмента для проксирования выполнения стороннего кода (техника Living off the Land).

RV-D-1380

Скачивание файлов через msedge_proxy.exe

Обнаружение использования msedge_proxy.exe для загрузки файлов. Файл msedge_proxy.exe связан с браузером Microsoft Edge и отвечает за обработку сетевого трафика и связь между браузером и Интернетом.

RV-D-1445

Удаленное использование утилиты Atexec

Атакующий может выполнять команды на целевой системе, используя инструмент atexec, который применяется для создания и немедленного запуска запланированного задания на удаленном хосте через SMB. Удаленное создание/исполнение/удаление задачи возможно с помощью RPC-процедур, таких как SchRpcRegisterTask, SchRpcRun и SchRpcDelete. Команда, переданная в atexec, устанавливается как действие запланированной задачи. Результат выполненной команды помещается во временный файл и далее считывается при помощи сетевого ресурса ADMIN$. Вывод команды извлекается путем перенаправления вывода во временный файл, который затем считывается через сетевой ресурс ADMIN$. Запланированные задачи могут создаваться и легитимно, но правило рассчитано на быструю последовательность операций и различия родителя задачи и выполнившего.

RV-D-1446

Компрометация через KrbRelayUp

Данное правило предназначено для выявления атак Kerberos Relay, при которых атакующие используют уязвимости в протоколах аутентификации для перехвата и перенаправления запросов, что позволяет им получить доступ к защищенным ресурсам. Такие атаки могут применяться для эскалации привилегий или несанкционированного доступа к критически важным данным.

RV-D-1499

Использование инструмента SharpHound

Утилита SharpHound (коллектор данных для инструмента BloodHound) используется атакующими для разведки в среде Active Directory (AD). Инструмент собирает информацию о пользователях, группах, компьютерах, активных сессиях и доверительных отношениях. В дальнейшем эти данные применяются в BloodHound для выявления скрытых связей и автоматизированного построения кратчайших маршрутов атаки (Attack Paths) к критичным активам и привилегированным учетным записям. Обнаружение несанкционированной активности SharpHound с высокой долей вероятности свидетельствует о присутствии атакующего в инфраструктуре, этапе сбора данных и подготовке к продвижению по сети (Lateral Movement).