Regole degli esperti di prevenzione exploit per MITRE-FIN7/Carbanak
Articoli tecnici ID:
KB93828
Ultima modifica: 2022-07-18 19:26:43 Etc/GMT
Ultima modifica: 2022-07-18 19:26:43 Etc/GMT
Ambiente
Endpoint Security (ENS) Prevenzione delle minacce 10.7.x
Riepilogo
Queste regole di prevenzione exploit di esperti sono costruite per proteggere da una serie di tecniche di MITRE attacco. Queste regole sono state progettate per i clienti che rispondono ai criteri seguenti:
Attivazione del contenuto di regole di esperti
Per istruzioni sulla creazione di regole Expert, consultare la sezione "Crea regole di esperti" della 10.7.x Guida del prodottoEndpoint Security. Si consiglia di aggiungere queste regole in "rapporto" solo con un livello di gravità "medio".
Abbiamo testato queste regole sulla Windows 10 maggio 2020 aggiornamento con l'ENS 10.7.0 novembre 2020 Update. Abbiamo inoltre testato queste regole per i falsi positivi nel nostro ambiente interno e le esclusioni sono state aggiunte di conseguenza. Tuttavia, se si verifica un falso positivo nel proprio ambiente, si consiglia di creare esclusioni in base alle proprie esigenze.
Regole degli esperti
Di seguito è riportato un elenco di regole, inclusa una descrizione, che si consiglia di aggiungere all'ambiente. C'è anche una spiegazione delleMITRE tecniche che coprono.
#1MITRE Spiegazione tecnica: T1089 – disattivazione degli strumenti di sicurezza per Fin7
Gli avversari potrebbero disattivare gli strumenti di sicurezza per evitare possibili rilevamenti di strumenti e attività. Questa azione può includere l'uccisione di software di sicurezza o processi di registrazione degli eventi; eliminazione delle chiavi di registro in modo che gli strumenti non inizino in fase di esecuzione. o altri metodi per interferire con la scansione della sicurezza o la segnalazione degli eventi.
Nome regola: T1089 – disattivazione degli strumenti di sicurezza- modifiche alla configurazione del link state Advertising (LSA)
Descrizione regola: Questo trigger di regola indica un tentativo di modifica della configurazione LSA, che è un pre-cursore del dumping delle credenziali. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto la regola con le applicazioni di autenticazione utilizzate nel proprio ambiente oppure di disabilitare la firma se sono presenti troppi falsi positivi.
Classe regola: Registro
Regola:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2MITRE Spiegazione tecnica: T 1559.001 – comunicazione inter-process: modello a oggetti Component per Fin7
COM è un componente dell'interfaccia di Application Programming Interface (API) nativa Windows che consente l'interazione tra gli oggetti software o il codice eseguibile che implementa una o più interfacce.
Gli avversari potrebbero abusare di COM per il comando locale o l'esecuzione del payload. Diverse interfacce COM sono esposte che gli avversari possono insultare per invocare l'esecuzione arbitraria tramite vari linguaggi di programmazione come C, C++, Java e VBScript. Esistono anche oggetti COM specifici per eseguire direttamente funzioni oltre l'esecuzione del codice. Questi oggetti includono la creazione di attività pianificate, l'download/esecuzione senza file e altri comportamenti di tipo avversario, ad esempio l'escalation dei privilegi e la persistenza.
#2.1 Rule Name: T 1559.001 – com-Word .Application utilizzando PowerShell e Python
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'oggetto Windows Component per l'esecuzione di codice in locale o in remoto tramite l'applicazione Word tramite Python o PowerShell.
Classe regola: Registro
Regola:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application utilizzando mshta-JScript e VBScript
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'oggetto COM utilizzando MSHTA tramite JavaScript o VBScript.
Classe regola: Registro
Regola:
Rule {
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 – com-utilizzo diWMI PowerShell/WMIC/mshta/VBScript
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'oggetto COM mediante WMI tramite PowerShell, WMIC, MSHTA o VBScript. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Processi
Regola:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3MITRE Spiegazione tecnica: T1138 – Application spessoramento
L'infrastruttura di Microsoft Windows Application Compatibility o Framework (shim applicazioni) consente la compatibilità con le versioni precedenti del software, poiché la codebase del sistema operativo cambia nel tempo. Quando viene eseguito un programma, viene fatto riferimento allo shim cache per determinare se il programma richiede l'utilizzo del database di shim (.sdb ). In tal caso, il database di shim utilizza l'hooking per reindirizzare il codice in base alle esigenze per comunicare con il sistema operativo.
Per mantenere gli shim protetti, Windows li ha progettati per essere eseguiti in modalità utente in modo che non possano modificare il kernel ed è necessario disporre dei diritti di amministratore per installare uno shim. Tuttavia, alcuni shim possono essere utilizzati per bypassare User Account Control (UAC) (RedirectEXE), iniettare le dll nei processi (InjectDLL), disabilitare la prevenzione dell'esecuzione dei dati (DisableNX) e la gestione delle eccezioni della struttura (DisableSEH) e intercettare gli indirizzi di memoria (GetProcAddress). Analogamente all'aggancio, l'utilizzo di questi shim potrebbe consentire a un avversario di eseguire vari atti dannosi come elevare i permessi, installare backdoor e disattivare le difese come Windows Defender.
#3.1 Rule Name: T1138 – spessoramento applicazioni-persistenza mediante l'accesso al registro di sistema SDB
Descrizione regola: Questo trigger di regola indica un tentativo di abuso dell'applicazione spessoramento mediante l'accesso al registro di sistema. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Registro
Regola:
Rule {
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – applicazione spessoramento-persistenza mediante il file SDB
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'applicazione spessoramento mediante la creazione e l'esecuzione di file SDB tramite PowerShell.
Classe regola: Processi
Regola:
Rule {
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4MITRE Spiegazione tecnica: T1088 – bypass UAC Fin7
Windows controllo dell'account utente consente a un programma di elevare le autorizzazioni (monitorate come livelli di integrità che variano da basso a alto) per eseguire un'attività in autorizzazioni a livello di amministratore, possibilmente richiedendo all'utente la conferma. L'impatto sull'utente varia dal negare l'operazione in presenza di un'elevata imposizione, per consentire all'utente di eseguire l'azione se si trovano nel gruppo Administrators locale, quindi fare clic sul prompt o consentire loro di immettere Una password amministratore per completare l'azione.
Un esempio è l'uso di Rundll32 per caricare una DLL creata che carica un oggetto del modello a oggetti componente con elevazione automatica ed esegue un'operazione di file in una directory protetta che in genere richiede l'accesso elevato. Il malware potrebbe anche essere iniettato in un processo affidabile per ottenere autorizzazioni elevate senza richiedere l'intervento di un utente.
Nome regola: T1088 – ignoraUAC-Sysprep il dirottamento dll
Descrizione regola: Questo trigger di regola indica un tentativo di ignorare il controllo dell'account utente mediante il dirottamento delle DLL di sistema.
Classe regola: Processi
Regola:
Rule {
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5MITRE Spiegazione tecnica: T1053 – attività PIANIFICAta per FIN7
Gli avversari potrebbero abusare dell'utilità di pianificazione delle attività di Windows per eseguire la pianificazione delle attività per l'esecuzione iniziale o ricorrente di malware. Sono disponibili diversi modi per accedere all'utilità di pianificazione in Windows. Un avversario potrebbe utilizzare Windows utilità di pianificazione per eseguire programmi all'avvio del sistema o su base pianificata per la persistenza. L'utilità di pianificazione delle attività di Windows può essere utilizzata anche per eseguire l'esecuzione remota come parte del movimento laterale o per l'esecuzione di un processo nel contesto di un account specifico (ad esempio sistema).
Nome regola: T1053 – attività pianificata per FIN7 utilizzandoschtask Crea/Modifica/Elimina
Descrizione regola: Questo trigger di regola indica un tentativo di abusare della funzionalità dell'utilità di pianificazione per la persistenza e l'esecuzione. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Processi
Regola:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6MITRE Spiegazione tecnica: T1047 – Windows Management Instrumentation (WMI) per FIN7
WMI è una funzionalità di amministrazione Windows che fornisce un ambiente uniforme per l'accesso locale e remoto ai componenti di sistema Windows. WMI si basa sul servizio WMI per l'accesso locale e remoto e sul Server Message Block (SMB) e Remote Procedure Call Service (RPC) per l'accesso remoto.
Un avversario può utilizzare WMI per interagire con i sistemi locali e remoti e utilizzarlo per eseguire molte funzioni tattiche, come la raccolta di informazioni per la scoperta e l'esecuzione remota di file come parte del movimento laterale.
Nome regola: T1047: esegue un programma utilizzando WMIC
Descrizione regola: Questo trigger di regola indica un tentativo di abusare della funzionalità WMI per la persistenza. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Processi
Regola:
Rule {
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7MITRE Spiegazione tecnica: T1503 – credenziali dai browser Web-Chrome/Firefox/credenziali
di opera Gli avversari possono acquisire credenziali dai browser Web leggendo i file specifici del browser di destinazione. I browser web generalmente salvano le credenziali come i nomi utente e le password dei siti Web, in modo che non debbano essere immesse manualmente in futuro. I browser Web in genere memorizzano le credenziali in un formato crittografato all'interno di un archivio delle credenziali. Tuttavia, esistono metodi per estrarre le credenziali in chiaro dai browser Web. Gli avversari possono anche acquisire le credenziali eseguendo una ricerca della memoria dei processi del browser Web per i pattern che generalmente corrispondono alle credenziali. Dopo aver acquisito le credenziali dai browser Web, gli avversari potrebbero tentare di riciclare le credenziali su sistemi o account diversi per espandere l'accesso.
Nome regola: T1503 – credenziali dai browser Web-credenziali Chrome/Firefox/Opera
Descrizione regola: Questo trigger di regola indica un tentativo di accedere ai file utilizzati per archiviare le credenziali nei browser. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Rule {
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8MITRE spiegazione tecnica: T1060 – chiavi di esecuzione del registro di sistema/cartella di avvio per FIN7
L'aggiunta di una voce alle chiavi di "esecuzione" nella cartella registro o avvio causa l'esecuzione del programma a cui viene fatto riferimento quando un utente effettua l'accesso. Questi programmi vengono eseguiti nel contesto dell'utente e dispongono del livello di autorizzazione associato dell'account.
#8.1 Rule Name: T1060 – autorun del registro di.lnk/.vbs/.vba file
Descrizione regola: Questo trigger di regola indica un tentativo di esecuzione di programmi all'accesso dell'utente. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Registro
Regola:
Rule {
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – cartella di avvio-file nelle cartelle di avvio
Descrizione regola: Questo trigger di regola indica un tentativo di creazione di file nella cartella di avvio. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9MITRE Spiegazione tecnica: T1204 – esecuzione dell'utente per Fin7
Un avversario può fare affidamento su azioni specifiche da parte di un utente per ottenere l'esecuzione. Questa azione potrebbe essere l'esecuzione di codice diretto, ad esempio quando un utente apre un eseguibile malevolo fornito tramite un allegato di phishing con l'icona e l'estensione apparente di un file di documento. Potrebbe anche portare ad altre tecniche di esecuzione, ad esempio quando un utente fa clic su un link fornito tramite un collegamento Spear phishing che porta allo sfruttamento di un browser o a una vulnerabilità dell'applicazione mediante lo sfruttamento per l'esecuzione del client. Gli avversari potrebbero utilizzare diversi tipi di file che richiedono l'esecuzione di un utente, tra cui.doc , .rtf .exe .pdf .scr .lnk .xls .pif ,,,,, e. .cpl
Nome regola: T1204 – esecuzione del payload tramite file LNK incorporato nel documento di Office
Descrizione regola: Questo trigger di regola indica un tentativo di creazione di un.lnk file da un'applicazione Word. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10MITRE Spiegazione tecnica: T1003 – dumping delle credenziali per FIN7
Monitoraggio di processi imprevisti che interagiscono conlsass.exe .
In comune i dumper delle credenziali, ad esempio Mimikatz accedere al processo del servizio di sottosistema LSA (LSASS), aprendo il processo, individuando la chiave LSA Secrets e decrittografando le sezioni nella memoria in cui vengono memorizzati i dettagli delle credenziali. I dumper delle credenziali potrebbero anche utilizzare metodi per l'iniezione di processo riflettente per ridurre i potenziali indicatori di attività malevole.
#10.1 Rule Name: T1003 – Esporta SAM dalla voce del registro di sistema di registro o LSA Export
Descrizione regola: Questo trigger di regola indica un tentativo di esportazione di SAM dal registro di sistema. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Registro
Regola:
Rule {
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copia il file SAM utilizzando gli strumenti di servizio Copia Shadow del volume
Descrizione regola: Questo trigger di regola indica un tentativo di copia del file SAM utilizzando gli strumenti di servizio Copia Shadow del volume. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Rule {
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11MITRE Spiegazione tecnica: T1055 – iniezione
di processo Gli avversari potrebbero iniettare codice nei processi per eludere le difese basate sui processi e possibilmente elevare i permessi. L'iniezione dei processi è un metodo per l'esecuzione di codice arbitrario nello spazio degli indirizzi di un processo Live separato. L'esecuzione di codice nel contesto di un altro processo potrebbe consentire l'accesso alla memoria del processo, alle risorse di sistema o di rete e alle autorizzazioni eventualmente elevate. L'esecuzione mediante iniezione di processo potrebbe anche eludere il rilevamento dai prodotti di sicurezza poiché l'esecuzione viene mascherata in base a un processo legittimo.
Nome regola: T1055 –ODBCconf dll Injection-DefenseEvasion per FIN7
Descrizione regola: Questo trigger di regola indica un tentativo di abusoodbcconf.exe per iniettare una dll potenzialmente dannosa.
Classe regola: Processi
Regola:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12MITRE Spiegazione tecnica:T1569 – System Services: Service Execution
Gli avversari potrebbero abusare di servizi di sistema o daemon per eseguire comandi o programmi. Gli avversari possono eseguire contenuti dannosi interagendo con o creando servizi. Molti servizi sono impostati per l'esecuzione all'avvio, che possono aiutare a raggiungere la persistenza (creare o modificare il processo di sistema), ma gli avversari possono anche abusare dei servizi per una sola volta o temporanea esecuzione.
Nome regola: T1569 – esecuzione del servizio mediantePSExec
Descrizione regola: Questo trigger di regola indica un tentativo di abusoPSExec utilizzando named pipe per trasferire output, input e errore standard. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Rule {
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
- Desidera rafforzare le difese.
- Sono disposti a utilizzare funzionalità che devono essere ottimizzate e monitorate.
Attivazione del contenuto di regole di esperti
Per istruzioni sulla creazione di regole Expert, consultare la sezione "Crea regole di esperti" della 10.7.x Guida del prodottoEndpoint Security. Si consiglia di aggiungere queste regole in "rapporto" solo con un livello di gravità "medio".
Abbiamo testato queste regole sulla Windows 10 maggio 2020 aggiornamento con l'ENS 10.7.0 novembre 2020 Update. Abbiamo inoltre testato queste regole per i falsi positivi nel nostro ambiente interno e le esclusioni sono state aggiunte di conseguenza. Tuttavia, se si verifica un falso positivo nel proprio ambiente, si consiglia di creare esclusioni in base alle proprie esigenze.
Regole degli esperti
Di seguito è riportato un elenco di regole, inclusa una descrizione, che si consiglia di aggiungere all'ambiente. C'è anche una spiegazione delle
- T1089 – disattivazione degli strumenti di sicurezza per Fin7
- T 1559.001 – comunicazione tra processi: modello a oggetti Component per Fin7
- T1138 – applicazione spessoramento
- T1088 – ignora il controllo dell'account utente Fin7
- T1053 – attività pianificata per FIN7
- T1047 – strumentazione di gestione Windows per FIN7
- T1503 – credenziali dai browser Web-credenziali Chrome/Firefox/Opera
- T1060 – chiavi di esecuzione del registro di sistema/cartella di avvio per FIN7
- T1204 – esecuzione dell'utente per Fin7
- T1003 – dumping delle credenziali per FIN7
- T1055 – iniezione di processo
- T1569 – servizi di sistema: esecuzione del servizio
#1
Gli avversari potrebbero disattivare gli strumenti di sicurezza per evitare possibili rilevamenti di strumenti e attività. Questa azione può includere l'uccisione di software di sicurezza o processi di registrazione degli eventi; eliminazione delle chiavi di registro in modo che gli strumenti non inizino in fase di esecuzione. o altri metodi per interferire con la scansione della sicurezza o la segnalazione degli eventi.
Nome regola: T1089 – disattivazione degli strumenti di sicurezza-
Descrizione regola: Questo trigger di regola indica un tentativo di modifica della configurazione LSA, che è un pre-cursore del dumping delle credenziali. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto la regola con le applicazioni di autenticazione utilizzate nel proprio ambiente oppure di disabilitare la firma se sono presenti troppi falsi positivi.
Classe regola: Registro
Regola:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2
COM è un componente dell'interfaccia di Application Programming Interface (API) nativa Windows che consente l'interazione tra gli oggetti software o il codice eseguibile che implementa una o più interfacce.
Gli avversari potrebbero abusare di COM per il comando locale o l'esecuzione del payload. Diverse interfacce COM sono esposte che gli avversari possono insultare per invocare l'esecuzione arbitraria tramite vari linguaggi di programmazione come C, C++, Java e VBScript. Esistono anche oggetti COM specifici per eseguire direttamente funzioni oltre l'esecuzione del codice. Questi oggetti includono la creazione di attività pianificate, l'download/esecuzione senza file e altri comportamenti di tipo avversario, ad esempio l'escalation dei privilegi e la persistenza.
#2.1 Rule Name: T 1559.001 – com-Word .Application utilizzando PowerShell e Python
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'oggetto Windows Component per l'esecuzione di codice in locale o in remoto tramite l'applicazione Word tramite Python o PowerShell.
Classe regola: Registro
Regola:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application utilizzando mshta-JScript e VBScript
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'oggetto COM utilizzando MSHTA tramite JavaScript o VBScript.
Classe regola: Registro
Regola:
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 – com-utilizzo di
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'oggetto COM mediante WMI tramite PowerShell, WMIC, MSHTA o VBScript. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Processi
Regola:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3
L'infrastruttura di Microsoft Windows Application Compatibility o Framework (shim applicazioni) consente la compatibilità con le versioni precedenti del software, poiché la codebase del sistema operativo cambia nel tempo. Quando viene eseguito un programma, viene fatto riferimento allo shim cache per determinare se il programma richiede l'utilizzo del database di shim (
Per mantenere gli shim protetti, Windows li ha progettati per essere eseguiti in modalità utente in modo che non possano modificare il kernel ed è necessario disporre dei diritti di amministratore per installare uno shim. Tuttavia, alcuni shim possono essere utilizzati per bypassare User Account Control (UAC) (RedirectEXE), iniettare le dll nei processi (InjectDLL), disabilitare la prevenzione dell'esecuzione dei dati (DisableNX) e la gestione delle eccezioni della struttura (DisableSEH) e intercettare gli indirizzi di memoria (GetProcAddress). Analogamente all'aggancio, l'utilizzo di questi shim potrebbe consentire a un avversario di eseguire vari atti dannosi come elevare i permessi, installare backdoor e disattivare le difese come Windows Defender.
#3.1 Rule Name: T1138 – spessoramento applicazioni-persistenza mediante l'accesso al registro di sistema SDB
Descrizione regola: Questo trigger di regola indica un tentativo di abuso dell'applicazione spessoramento mediante l'accesso al registro di sistema. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Registro
Regola:
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – applicazione spessoramento-persistenza mediante il file SDB
Descrizione regola: Questo trigger di regola indica un tentativo di abusare dell'applicazione spessoramento mediante la creazione e l'esecuzione di file SDB tramite PowerShell.
Classe regola: Processi
Regola:
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4
Windows controllo dell'account utente consente a un programma di elevare le autorizzazioni (monitorate come livelli di integrità che variano da basso a alto) per eseguire un'attività in autorizzazioni a livello di amministratore, possibilmente richiedendo all'utente la conferma. L'impatto sull'utente varia dal negare l'operazione in presenza di un'elevata imposizione, per consentire all'utente di eseguire l'azione se si trovano nel gruppo Administrators locale, quindi fare clic sul prompt o consentire loro di immettere Una password amministratore per completare l'azione.
Un esempio è l'uso di Rundll32 per caricare una DLL creata che carica un oggetto del modello a oggetti componente con elevazione automatica ed esegue un'operazione di file in una directory protetta che in genere richiede l'accesso elevato. Il malware potrebbe anche essere iniettato in un processo affidabile per ottenere autorizzazioni elevate senza richiedere l'intervento di un utente.
Nome regola: T1088 – ignora
Descrizione regola: Questo trigger di regola indica un tentativo di ignorare il controllo dell'account utente mediante il dirottamento delle DLL di sistema.
Classe regola: Processi
Regola:
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5
Gli avversari potrebbero abusare dell'utilità di pianificazione delle attività di Windows per eseguire la pianificazione delle attività per l'esecuzione iniziale o ricorrente di malware. Sono disponibili diversi modi per accedere all'utilità di pianificazione in Windows. Un avversario potrebbe utilizzare Windows utilità di pianificazione per eseguire programmi all'avvio del sistema o su base pianificata per la persistenza. L'utilità di pianificazione delle attività di Windows può essere utilizzata anche per eseguire l'esecuzione remota come parte del movimento laterale o per l'esecuzione di un processo nel contesto di un account specifico (ad esempio sistema).
Nome regola: T1053 – attività pianificata per FIN7 utilizzando
Descrizione regola: Questo trigger di regola indica un tentativo di abusare della funzionalità dell'utilità di pianificazione per la persistenza e l'esecuzione. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Processi
Regola:
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6
WMI è una funzionalità di amministrazione Windows che fornisce un ambiente uniforme per l'accesso locale e remoto ai componenti di sistema Windows. WMI si basa sul servizio WMI per l'accesso locale e remoto e sul Server Message Block (SMB) e Remote Procedure Call Service (RPC) per l'accesso remoto.
Un avversario può utilizzare WMI per interagire con i sistemi locali e remoti e utilizzarlo per eseguire molte funzioni tattiche, come la raccolta di informazioni per la scoperta e l'esecuzione remota di file come parte del movimento laterale.
Nome regola: T1047: esegue un programma utilizzando WMIC
Descrizione regola: Questo trigger di regola indica un tentativo di abusare della funzionalità WMI per la persistenza. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Processi
Regola:
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7
di opera Gli avversari possono acquisire credenziali dai browser Web leggendo i file specifici del browser di destinazione. I browser web generalmente salvano le credenziali come i nomi utente e le password dei siti Web, in modo che non debbano essere immesse manualmente in futuro. I browser Web in genere memorizzano le credenziali in un formato crittografato all'interno di un archivio delle credenziali. Tuttavia, esistono metodi per estrarre le credenziali in chiaro dai browser Web. Gli avversari possono anche acquisire le credenziali eseguendo una ricerca della memoria dei processi del browser Web per i pattern che generalmente corrispondono alle credenziali. Dopo aver acquisito le credenziali dai browser Web, gli avversari potrebbero tentare di riciclare le credenziali su sistemi o account diversi per espandere l'accesso.
Nome regola: T1503 – credenziali dai browser Web-credenziali Chrome/Firefox/Opera
Descrizione regola: Questo trigger di regola indica un tentativo di accedere ai file utilizzati per archiviare le credenziali nei browser. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8
L'aggiunta di una voce alle chiavi di "esecuzione" nella cartella registro o avvio causa l'esecuzione del programma a cui viene fatto riferimento quando un utente effettua l'accesso. Questi programmi vengono eseguiti nel contesto dell'utente e dispongono del livello di autorizzazione associato dell'account.
#8.1 Rule Name: T1060 – autorun del registro di
Descrizione regola: Questo trigger di regola indica un tentativo di esecuzione di programmi all'accesso dell'utente. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Registro
Regola:
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – cartella di avvio-file nelle cartelle di avvio
Descrizione regola: Questo trigger di regola indica un tentativo di creazione di file nella cartella di avvio. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9
Un avversario può fare affidamento su azioni specifiche da parte di un utente per ottenere l'esecuzione. Questa azione potrebbe essere l'esecuzione di codice diretto, ad esempio quando un utente apre un eseguibile malevolo fornito tramite un allegato di phishing con l'icona e l'estensione apparente di un file di documento. Potrebbe anche portare ad altre tecniche di esecuzione, ad esempio quando un utente fa clic su un link fornito tramite un collegamento Spear phishing che porta allo sfruttamento di un browser o a una vulnerabilità dell'applicazione mediante lo sfruttamento per l'esecuzione del client. Gli avversari potrebbero utilizzare diversi tipi di file che richiedono l'esecuzione di un utente, tra cui
Nome regola: T1204 – esecuzione del payload tramite file LNK incorporato nel documento di Office
Descrizione regola: Questo trigger di regola indica un tentativo di creazione di un
Classe regola: File
Regola:
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10
Monitoraggio di processi imprevisti che interagiscono con
#10.1 Rule Name: T1003 – Esporta SAM dalla voce del registro di sistema di registro o LSA Export
Descrizione regola: Questo trigger di regola indica un tentativo di esportazione di SAM dal registro di sistema. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: Registro
Regola:
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copia il file SAM utilizzando gli strumenti di servizio Copia Shadow del volume
Descrizione regola: Questo trigger di regola indica un tentativo di copia del file SAM utilizzando gli strumenti di servizio Copia Shadow del volume. Questa regola è per il monitoraggio o la telemetria. Ai clienti viene consigliato di mettere a punto le regole per le applicazioni utilizzate nel proprio ambiente o disattivare la firma se sono presenti falsi positivi.
Classe regola: File
Regola:
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11
di processo Gli avversari potrebbero iniettare codice nei processi per eludere le difese basate sui processi e possibilmente elevare i permessi. L'iniezione dei processi è un metodo per l'esecuzione di codice arbitrario nello spazio degli indirizzi di un processo Live separato. L'esecuzione di codice nel contesto di un altro processo potrebbe consentire l'accesso alla memoria del processo, alle risorse di sistema o di rete e alle autorizzazioni eventualmente elevate. L'esecuzione mediante iniezione di processo potrebbe anche eludere il rilevamento dai prodotti di sicurezza poiché l'esecuzione viene mascherata in base a un processo legittimo.
Nome regola: T1055 –
Descrizione regola: Questo trigger di regola indica un tentativo di abuso
Classe regola: Processi
Regola:
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12
Gli avversari potrebbero abusare di servizi di sistema o daemon per eseguire comandi o programmi. Gli avversari possono eseguire contenuti dannosi interagendo con o creando servizi. Molti servizi sono impostati per l'esecuzione all'avvio, che possono aiutare a raggiungere la persistenza (creare o modificare il processo di sistema), ma gli avversari possono anche abusare dei servizi per una sola volta o temporanea esecuzione.
Nome regola: T1569 – esecuzione del servizio mediante
Descrizione regola: Questo trigger di regola indica un tentativo di abuso
Classe regola: File
Regola:
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: