Regras de especialista em prevenção de exploração para o o-FIN7/Carbanak
Artigos técnicos ID:
KB93828
Última modificação: 2022-07-18 17:00:36 Etc/GMT
Última modificação: 2022-07-18 17:00:36 Etc/GMT
Ambiente
Endpoint Security (ENS) Prevenção contra ameaças 10.7.x
Resumo
Essas regras de especialistas em prevenção de exploração são construídas para proteger-se contra uma variedade de técnicas de MITRE ataque. Essas regras foram projetadas para os clientes que atendem aos critérios abaixo:
Ativando conteúdo de regras de especialista
Para obter instruções sobre como criar regras de especialista, consulte a seção "criar regras de especialista" do 10.7.x Guia de produtodo Endpoint Security. Recomendamos que essas regras sejam adicionadas a "relatório" somente com um nível de gravidade "médio".
Testamos essas regras no Windows 10 pode ser atualizada 2020 com a atualização do ENS 10.7.0 de novembro de 2020. Também testamos essas regras em caso de falsos positivos em nosso ambiente interno, e as exclusões foram adicionadas de acordo. Mas, se ocorrer um falso positivo no seu ambiente, recomendamos a criação de exclusões para atender às suas necessidades.
Regras de especialista
Veja a seguir uma lista de regras, incluindo uma descrição, que recomendamos adicionar ao seu ambiente. Há também uma explicação dasMITRE técnicas que cobrem.
#1MITRE Explicação técnica: T1089 – desativação de ferramentas de segurança para o Fin7
Os adversários podem desativar as ferramentas de segurança para evitar a possível detecção de suas ferramentas e atividades. Essa ação pode incluir a eliminação do software de segurança ou dos processos de registro de eventos; exclusão de chaves de registro para que as ferramentas não sejam iniciadas em tempo de execução; ou outros métodos para interferir na varredura de segurança ou no relatório de eventos.
Nome da regra: T1089 – desativando as ferramentas de segurança-alterações de configuração do anúncio de estado de link (LSA)
Descrição da regra: Esse disparador de regras indica uma tentativa de modificar a configuração da LSA, que é um cursor para o despejo de credencial. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a ajustar a regra para os aplicativos de autenticação usados em seu ambiente ou desativar a assinatura se houver muitos falsos positivos.
Classe de regra: Registry
Regra:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2MITRE Explicação técnica: T 1559.001 – comunicação entre processos: modelo de objeto componente para o Fin7
O COM é um componente da interface de programação de aplicativo (API) do Windows nativo que permite a interação entre objetos de software ou códigos executáveis que implementam uma ou mais interfaces.
Os adversários podem executar abusos COM para comando local ou execução de carga. Várias interfaces COM são expostas que os adversários podem se abfazer para chamar a execução arbitrária por meio de várias linguagens de programação, como C, C++, Java e VBScript. Os objetos COM específicos também existem para executar diretamente funções além da execução de códigos. Esses objetos incluem a criação de tarefas programadas, download/execução sem arquivos e outros comportamentos do adversário, como aumento de privilégios e persistência.
#2.1 Rule Name: T 1559.001 – com-Word .Application usando o PowerShell e o Python
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido objeto de componente Windows para a execução remota de código ou remotamente por meio do aplicativo Word via Python ou PowerShell.
Classe de regra: Registry
Regra:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application usando mshta-JScript e VBScript
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido objeto COM usando o MSHTA via JavaScript ou VBScript.
Classe de regra: Registry
Regra:
Rule {
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 – com-WMI uso do PowerShell/WMIC/mshta/VBScript
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido objeto COM usando o WMI por meio do PowerShell, do WMIC, do MSHTA ou do VBScript. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Processos
Regra:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3MITRE Explicação técnica: T1138-shimming
do aplicativo A infraestrutura ou a estrutura de compatibilidade de aplicativos do Microsoft Windows (correção de aplicativos) permite a compatibilidade com versões anteriores do software à medida que a codebase do sistema operacional muda ao longo do tempo. Quando um programa é executado, o cache de correção é referenciado para determinar se o programa requer o uso do banco de dados de correção (.sdb ). Nesse caso, o banco de dados de correção usa a interceptação para redirecionar o código conforme o necessário para comunicar-se com o sistema operacional.
Para manter as correções seguras, Windows projetadas para serem executadas no modo de usuário para que não possam modificar o kernel, e você deve ter direitos de administrador para instalar uma correção. No entanto, determinadas correções podem ser usadas para ignorar o UAC (User Account Control) (RedirectEXE), injetar DLLs em processos (InjectDLL), desativar a prevenção de execução de dados (DisableNX) e manipulação de exceção de estrutura (DisableSEH) e interceptar endereços de memória (GetProcAddress). Assim como a interceptação, o uso dessas correções pode permitir que um adversário execute várias ações maliciosas, como elevar permissões, instalar backdoors e desativar defesas, como o Windows Defender.
#3.1 Rule Name: T1138 – shimming do aplicativo-persistência usando o SDB arquivo-acesso ao registro
Descrição da regra: Esse disparador de regras indica uma tentativa de abuso de shimming do aplicativo por meio do acesso ao registro. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Registry
Regra:
Rule {
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – persistência de shimming de aplicativo usando arquivo SDB
Descrição da regra: Esse disparador de regras indica uma tentativa de abuso do aplicativo shimming por meio da criação e execução do SDB arquivo por meio do PowerShell.
Classe de regra: Processos
Regra:
Rule {
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4MITRE Explicação técnica: T1088 – ignorar o Fin7
do UAC Windows UAC permite que um programa eleve suas permissões (rastreadas como níveis de integridade que variam de baixo para alto) para executar uma tarefa sob permissões de nível de administrador, possivelmente solicitando confirmação ao usuário. O impacto para o usuário varia de negar a operação em uma imposição, para permitir que o usuário execute a ação se estiver no grupo Administradores local e clique no aviso ou permitindo que eles digitem uma senha de administrador para que a ação seja concluída.
Um exemplo é o uso de rundll32 para carregar uma DLL criada que carrega um objeto de modelo de objeto componente com carga elevada automática e executa uma operação arquivo em um diretório protegido que, em geral, exigiria acesso elevado. O malware também pode ser injetado em um processo confiável para obter permissões elevadas sem perguntar a um usuário.
Nome da regra: T1088 – ignorarUAC-Sysprep o seqüestro de dll
Descrição da regra: Esse disparador de regras indica uma tentativa de ignorar o controle de conta de usuário ao seqüestrar as DLLs do sistema.
Classe de regra: Processos
Regra:
Rule {
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5MITRE Explicação técnica: T1053 – tarefa agendada para o FIN7
Os adversários podem abfazer o Windows o Agendador de tarefas para executar o agendamento de tarefas para a execução inicial ou recorrente de malware. Há várias maneiras de acessar o Agendador de tarefas no Windows. Um adversário pode usar Windows o Agendador de tarefas para executar programas na inicialização do sistema ou em uma base programada para persistência. O Agendador de tarefas do Windows também pode ser abusado para conduzir a execução remota como parte do movimento lateral ou para executar um processo no contexto de uma conta específica (como sistema).
Nome da regra: T1053 – tarefa agendada para o FIN7 usandoschtask criar/modificar/excluir
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido recurso Agendador de tarefas para persistência e execução. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Processos
Regra:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6MITRE Explicação técnica: T1047 – Instrumentação de gerenciamento do Windows (WMI) para FIN7
O WMI é um recurso de administração Windows que fornece um ambiente uniforme para acesso local e remoto a componentes do sistema Windows. O WMI depende do serviço WMI para acesso local e remoto e o bloqueio de mensagens do servidor (SMB) e o serviço de chamada de procedimento remoto (RPCS) para acesso remoto.
Um adversário pode usar o WMI para interagir com sistemas locais e remotos e usá-lo para executar muitas funções de tática, como reunir informações para descoberta e execução remota de arquivos como parte do movimento lateral.
Nome da regra: T1047 – executar um programa usando a WMIC
Descrição da regra: Esse disparador de regras indica uma tentativa de abuso do recurso WMI para persistência. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Processos
Regra:
Rule {
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7MITRE Explicação técnica: T1503-credenciais de navegadores da Web-credenciais
Chrome/firefox/opera Os adversários podem adquirir credenciais de navegadores da Web ao ler arquivos específicos para o navegador de destino. Os navegadores da Web normalmente salvam credenciais, como nomes de usuário e senhas de sites, para que não precisem ser inseridas manualmente no futuro. Os navegadores da Web normalmente armazenam as credenciais em um formato criptografado dentro de um armazenamento de credenciais. No entanto, os métodos existem para extrair credenciais de texto sem formatação dos navegadores da Web. Os adversários também podem adquirir credenciais ao pesquisar no navegador da Web processo a memória para padrões que geralmente correspondem a credenciais. Depois de adquirir credenciais de navegadores da Web, os adversários podem tentar reciclar as credenciais entre diferentes sistemas ou contas para expandir o acesso.
Nome da regra: T1503 – credenciais de navegadores da Web-credenciais Chrome/Firefox/Opera
Descrição da regra: Esse disparador de regras indica uma tentativa de acesso a arquivos usados para armazenar credenciais em navegadores. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Rule {
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8MITRE explicação técnica: T1060 – chaves de execução de registro/pasta de inicialização para o FIN7
A adição de uma entrada ao "executar chaves" no registro ou na pasta de inicialização faz com que o programa referido seja executado quando um usuário efetua login. Esses programas são executados sob o contexto do usuário e têm o nível de permissões associado da conta.
#8.1 Rule Name: T1060 – execução automática do registro de.lnk/.vbs/.vba arquivos
Descrição da regra: Esse disparador de regras indica uma tentativa de execução de programas no login do usuário. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Registry
Regra:
Rule {
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – pasta de inicialização-arquivos em pastas de inicialização
Descrição da regra: Esse disparador de regras indica uma tentativa de criação de arquivos na pasta de inicialização. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9MITRE Explicação técnica: T1204 – execução do usuário para o Fin7
Um adversário pode contar com ações específicas de um usuário para obter a execução. Essa ação pode ser a execução direta de código, como quando um usuário abre um executável malicioso entregue por meio de um anexo de phishing de Spear com o ícone e a extensão aparente de um documento arquivo. Ele também pode levar a outras técnicas de execução, como quando um usuário clica em um link fornecido por meio de um link de spear phishing que leva à exploração de uma vulnerabilidade de navegador ou aplicativo por meio da exploração para a execução de clientes. Os adversários podem usar vários tipos de arquivos que exigem que um usuário os execute, incluindo.doc , .pdf .exe .xls .scr .lnk .rtf .pif ,,,,, e. .cpl
Nome da regra: T1204 – execução de conteúdo por meio de LNK arquivo incorporado no documento do Office
Descrição da regra: Esse disparador de regras indica uma tentativa de criar uma.lnk arquivo a partir de um aplicativo de Word. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10MITRE Explicação técnica: T1003 – despejo de CREDENCIAl para FIN7
Monitoramento de processos inesperados interagindo comlsass.exe o.
Em Comum os emissores de credencial, Mimikatz como acessar o processo do Lsass (serviço do subsistema LSA) abrindo o processo, localizando a chave segredos da LSA e descriptografando as seções na memória onde os detalhes da credencial são armazenados. Os emissores de credencial também podem usar métodos para injeção de processo reflexivo para reduzir possíveis indicadores de atividades maliciosas.
#10.1 Rule Name: T1003 – exportar SAM do registro ou da LSA exportar entrada do registro
Descrição da regra: Esse disparador de regras indica uma tentativa de exportação do SAM do registro. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Registry
Regra:
Rule {
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copiar SAM arquivo usando as ferramentas do serviço de cópias de sombra de volume
Descrição da regra: Esse disparador de regras indica uma tentativa de cópia do SAM arquivo usando as ferramentas do serviço de cópias de sombra de volume. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Rule {
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11MITRE Explicação técnica: T1055 – injeção
de processo Os adversários podem injetar código nos processos para escapar das defesas baseadas em processos e, possivelmente, elevar permissões. A injeção de processo é um método de execução de código arbitrário no espaço de endereço de um processo dinâmico separado. O código em execução no contexto de outro processo pode permitir o acesso aos recursos de memória, sistema ou rede do processo e, possivelmente, permissões elevadas. A execução por meio de injeção de processo também pode enganar a detecção de produtos de segurança, uma vez que a execução é mascarada em um processo legítimo.
Nome da regra: T1055 –ODBCconf injeção de dll-DefenseEvasion para FIN7
Descrição da regra: Esse disparador de regras indica uma tentativa deodbcconf.exe injetar uma DLL potencialmente maliciosa.
Classe de regra: Processos
Regra:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12MITRE Explicação técnica:T1569 – System Services: Service Execution
Os adversários podem abfazer o mau uso de serviços ou daemons do sistema para executar comandos ou programas. Os adversários podem executar conteúdo malicioso interagindo com ou criando serviços. Muitos serviços são configurados para serem executados na inicialização, o que pode ajudar a atingir a persistência (criar ou modificar o processo do sistema), mas os adversários também podem abutilizar serviços para execução única ou temporária.
Nome da regra: T1569 – execução de serviço usandoPSExec
Descrição da regra: Esse disparador de regras indica uma tentativa de abusoPSExec usando pipes nomeados para transferir saída, entrada e erro padrão. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Rule {
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
- Deseja apertar suas defesas.
- Estão dispostos a usar recursos que precisam ser ajustados e monitorados.
Ativando conteúdo de regras de especialista
Para obter instruções sobre como criar regras de especialista, consulte a seção "criar regras de especialista" do 10.7.x Guia de produtodo Endpoint Security. Recomendamos que essas regras sejam adicionadas a "relatório" somente com um nível de gravidade "médio".
Testamos essas regras no Windows 10 pode ser atualizada 2020 com a atualização do ENS 10.7.0 de novembro de 2020. Também testamos essas regras em caso de falsos positivos em nosso ambiente interno, e as exclusões foram adicionadas de acordo. Mas, se ocorrer um falso positivo no seu ambiente, recomendamos a criação de exclusões para atender às suas necessidades.
Regras de especialista
Veja a seguir uma lista de regras, incluindo uma descrição, que recomendamos adicionar ao seu ambiente. Há também uma explicação das
- T1089 – desativação de ferramentas de segurança para o Fin7
- T 1559.001 – comunicação entre processos: modelo de objeto componente para o Fin7
- T1138 – shimming do aplicativo
- T1088 – ignorar o Fin7 de controle de conta de usuário
- T1053 – tarefa agendada para o FIN7
- T1047 – Instrumentação de gerenciamento de Windows para o FIN7
- T1503 – credenciais de navegadores da Web-credenciais Chrome/Firefox/Opera
- T1060 – chaves de execução de registro/pasta de inicialização para o FIN7
- T1204 – execução do usuário para o Fin7
- T1003 – despejo de credencial para FIN7
- T1055 – injeção de processo
- T1569 – serviços do sistema: execução de serviço
#1
Os adversários podem desativar as ferramentas de segurança para evitar a possível detecção de suas ferramentas e atividades. Essa ação pode incluir a eliminação do software de segurança ou dos processos de registro de eventos; exclusão de chaves de registro para que as ferramentas não sejam iniciadas em tempo de execução; ou outros métodos para interferir na varredura de segurança ou no relatório de eventos.
Nome da regra: T1089 – desativando as ferramentas de segurança-alterações de configuração do anúncio de estado de
Descrição da regra: Esse disparador de regras indica uma tentativa de modificar a configuração da LSA, que é um cursor para o despejo de credencial. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a ajustar a regra para os aplicativos de autenticação usados em seu ambiente ou desativar a assinatura se houver muitos falsos positivos.
Classe de regra: Registry
Regra:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2
O COM é um componente da interface de programação de aplicativo (API) do Windows nativo que permite a interação entre objetos de software ou códigos executáveis que implementam uma ou mais interfaces.
Os adversários podem executar abusos COM para comando local ou execução de carga. Várias interfaces COM são expostas que os adversários podem se abfazer para chamar a execução arbitrária por meio de várias linguagens de programação, como C, C++, Java e VBScript. Os objetos COM específicos também existem para executar diretamente funções além da execução de códigos. Esses objetos incluem a criação de tarefas programadas, download/execução sem arquivos e outros comportamentos do adversário, como aumento de privilégios e persistência.
#2.1 Rule Name: T 1559.001 – com-Word .Application usando o PowerShell e o Python
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido objeto de componente Windows para a execução remota de código ou remotamente por meio do aplicativo Word via Python ou PowerShell.
Classe de regra: Registry
Regra:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application usando mshta-JScript e VBScript
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido objeto COM usando o MSHTA via JavaScript ou VBScript.
Classe de regra: Registry
Regra:
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 – com-
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido objeto COM usando o WMI por meio do PowerShell, do WMIC, do MSHTA ou do VBScript. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Processos
Regra:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3
do aplicativo A infraestrutura ou a estrutura de compatibilidade de aplicativos do Microsoft Windows (correção de aplicativos) permite a compatibilidade com versões anteriores do software à medida que a codebase do sistema operacional muda ao longo do tempo. Quando um programa é executado, o cache de correção é referenciado para determinar se o programa requer o uso do banco de dados de correção (
Para manter as correções seguras, Windows projetadas para serem executadas no modo de usuário para que não possam modificar o kernel, e você deve ter direitos de administrador para instalar uma correção. No entanto, determinadas correções podem ser usadas para ignorar o UAC (User Account Control) (RedirectEXE), injetar DLLs em processos (InjectDLL), desativar a prevenção de execução de dados (DisableNX) e manipulação de exceção de estrutura (DisableSEH) e interceptar endereços de memória (GetProcAddress). Assim como a interceptação, o uso dessas correções pode permitir que um adversário execute várias ações maliciosas, como elevar permissões, instalar backdoors e desativar defesas, como o Windows Defender.
#3.1 Rule Name: T1138 – shimming do aplicativo-persistência usando o SDB arquivo-acesso ao registro
Descrição da regra: Esse disparador de regras indica uma tentativa de abuso de shimming do aplicativo por meio do acesso ao registro. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Registry
Regra:
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – persistência de shimming de aplicativo usando arquivo SDB
Descrição da regra: Esse disparador de regras indica uma tentativa de abuso do aplicativo shimming por meio da criação e execução do SDB arquivo por meio do PowerShell.
Classe de regra: Processos
Regra:
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4
do UAC Windows UAC permite que um programa eleve suas permissões (rastreadas como níveis de integridade que variam de baixo para alto) para executar uma tarefa sob permissões de nível de administrador, possivelmente solicitando confirmação ao usuário. O impacto para o usuário varia de negar a operação em uma imposição, para permitir que o usuário execute a ação se estiver no grupo Administradores local e clique no aviso ou permitindo que eles digitem uma senha de administrador para que a ação seja concluída.
Um exemplo é o uso de rundll32 para carregar uma DLL criada que carrega um objeto de modelo de objeto componente com carga elevada automática e executa uma operação arquivo em um diretório protegido que, em geral, exigiria acesso elevado. O malware também pode ser injetado em um processo confiável para obter permissões elevadas sem perguntar a um usuário.
Nome da regra: T1088 – ignorar
Descrição da regra: Esse disparador de regras indica uma tentativa de ignorar o controle de conta de usuário ao seqüestrar as DLLs do sistema.
Classe de regra: Processos
Regra:
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5
Os adversários podem abfazer o Windows o Agendador de tarefas para executar o agendamento de tarefas para a execução inicial ou recorrente de malware. Há várias maneiras de acessar o Agendador de tarefas no Windows. Um adversário pode usar Windows o Agendador de tarefas para executar programas na inicialização do sistema ou em uma base programada para persistência. O Agendador de tarefas do Windows também pode ser abusado para conduzir a execução remota como parte do movimento lateral ou para executar um processo no contexto de uma conta específica (como sistema).
Nome da regra: T1053 – tarefa agendada para o FIN7 usando
Descrição da regra: Esse disparador de regras indica uma tentativa de uso indevido recurso Agendador de tarefas para persistência e execução. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Processos
Regra:
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6
O WMI é um recurso de administração Windows que fornece um ambiente uniforme para acesso local e remoto a componentes do sistema Windows. O WMI depende do serviço WMI para acesso local e remoto e o bloqueio de mensagens do servidor (SMB) e o serviço de chamada de procedimento remoto (RPCS) para acesso remoto.
Um adversário pode usar o WMI para interagir com sistemas locais e remotos e usá-lo para executar muitas funções de tática, como reunir informações para descoberta e execução remota de arquivos como parte do movimento lateral.
Nome da regra: T1047 – executar um programa usando a WMIC
Descrição da regra: Esse disparador de regras indica uma tentativa de abuso do recurso WMI para persistência. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Processos
Regra:
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7
Chrome/firefox/opera Os adversários podem adquirir credenciais de navegadores da Web ao ler arquivos específicos para o navegador de destino. Os navegadores da Web normalmente salvam credenciais, como nomes de usuário e senhas de sites, para que não precisem ser inseridas manualmente no futuro. Os navegadores da Web normalmente armazenam as credenciais em um formato criptografado dentro de um armazenamento de credenciais. No entanto, os métodos existem para extrair credenciais de texto sem formatação dos navegadores da Web. Os adversários também podem adquirir credenciais ao pesquisar no navegador da Web processo a memória para padrões que geralmente correspondem a credenciais. Depois de adquirir credenciais de navegadores da Web, os adversários podem tentar reciclar as credenciais entre diferentes sistemas ou contas para expandir o acesso.
Nome da regra: T1503 – credenciais de navegadores da Web-credenciais Chrome/Firefox/Opera
Descrição da regra: Esse disparador de regras indica uma tentativa de acesso a arquivos usados para armazenar credenciais em navegadores. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8
A adição de uma entrada ao "executar chaves" no registro ou na pasta de inicialização faz com que o programa referido seja executado quando um usuário efetua login. Esses programas são executados sob o contexto do usuário e têm o nível de permissões associado da conta.
#8.1 Rule Name: T1060 – execução automática do registro de
Descrição da regra: Esse disparador de regras indica uma tentativa de execução de programas no login do usuário. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Registry
Regra:
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – pasta de inicialização-arquivos em pastas de inicialização
Descrição da regra: Esse disparador de regras indica uma tentativa de criação de arquivos na pasta de inicialização. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9
Um adversário pode contar com ações específicas de um usuário para obter a execução. Essa ação pode ser a execução direta de código, como quando um usuário abre um executável malicioso entregue por meio de um anexo de phishing de Spear com o ícone e a extensão aparente de um documento arquivo. Ele também pode levar a outras técnicas de execução, como quando um usuário clica em um link fornecido por meio de um link de spear phishing que leva à exploração de uma vulnerabilidade de navegador ou aplicativo por meio da exploração para a execução de clientes. Os adversários podem usar vários tipos de arquivos que exigem que um usuário os execute, incluindo
Nome da regra: T1204 – execução de conteúdo por meio de LNK arquivo incorporado no documento do Office
Descrição da regra: Esse disparador de regras indica uma tentativa de criar uma
Classe de regra: Contidos
Regra:
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10
Monitoramento de processos inesperados interagindo com
#10.1 Rule Name: T1003 – exportar SAM do registro ou da LSA exportar entrada do registro
Descrição da regra: Esse disparador de regras indica uma tentativa de exportação do SAM do registro. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Registry
Regra:
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copiar SAM arquivo usando as ferramentas do serviço de cópias de sombra de volume
Descrição da regra: Esse disparador de regras indica uma tentativa de cópia do SAM arquivo usando as ferramentas do serviço de cópias de sombra de volume. Esta regra destina-se ao monitoramento ou telemetria. Os clientes são aconselhados a refinar as regras para os aplicativos usados em seu ambiente ou desativar a assinatura se houver falsos positivos.
Classe de regra: Contidos
Regra:
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11
de processo Os adversários podem injetar código nos processos para escapar das defesas baseadas em processos e, possivelmente, elevar permissões. A injeção de processo é um método de execução de código arbitrário no espaço de endereço de um processo dinâmico separado. O código em execução no contexto de outro processo pode permitir o acesso aos recursos de memória, sistema ou rede do processo e, possivelmente, permissões elevadas. A execução por meio de injeção de processo também pode enganar a detecção de produtos de segurança, uma vez que a execução é mascarada em um processo legítimo.
Nome da regra: T1055 –
Descrição da regra: Esse disparador de regras indica uma tentativa de
Classe de regra: Processos
Regra:
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12
Os adversários podem abfazer o mau uso de serviços ou daemons do sistema para executar comandos ou programas. Os adversários podem executar conteúdo malicioso interagindo com ou criando serviços. Muitos serviços são configurados para serem executados na inicialização, o que pode ajudar a atingir a persistência (criar ou modificar o processo do sistema), mas os adversários também podem abutilizar serviços para execução única ou temporária.
Nome da regra: T1569 – execução de serviço usando
Descrição da regra: Esse disparador de regras indica uma tentativa de abuso
Classe de regra: Contidos
Regra:
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: