Reglas de experto en prevención de exploit para MITRE-FIN7/Carbanak
Artículos técnicos ID:
KB93828
Última modificación: 2022-07-18 19:26:49 Etc/GMT
Última modificación: 2022-07-18 19:26:49 Etc/GMT
Entorno
Prevención de amenazas Endpoint Security (ENS) 10.7.x
Resumen
Estas reglas de prevención de exploits se construyen para protegerse frente a una serie de técnicas de MITRE ataque. Estas reglas están diseñadas para clientes que cumplan los siguientes criterios:
Seleccioneción del contenido de las reglas de experto
Para obtener instrucciones sobre cómo crear reglas de experto, consulte la sección "crear reglas de experto" de la 10.7.x Guía del productode Endpoint Security. Se recomienda agregar estas reglas a "informe" solo con un nivel de gravedad "medio".
Probamos estas reglas en el Windows 10 2020 de mayo de la actualización con la actualización de ENS 10.7.0 de noviembre de 2020. También probamos estas reglas para los falsos positivos en nuestro entorno interno y, en consecuencia, se han agregado exclusiones. No obstante, si se produce un falso positivo en su entorno, le recomendamos que cree exclusiones que se ajusten a sus necesidades.
Reglas de experto
A continuación se ofrece una lista de reglas, incluida una descripción, que se recomienda agregar a su entorno. También hay una explicación de para losMITRE técnicas que cubren.
#1MITRE técnica: T1089 – desactivación de herramientas de seguridad para Fin7
Adversaries podría desactivar las herramientas de seguridad para evitar posibles detecciones de sus herramientas y actividades. Esta acción puede incluir el software de seguridad de matanza o los procesos de registro de eventos; eliminación de claves de registro para que las herramientas no se inicien en tiempo de ejecución; u otros métodos para interferir con el análisis de seguridad o la generación de informes de eventos. Nombre de la
regla: T1089 – desactivación de las herramientas de seguridad-cambios de configuración de los anuncios de estado de vínculos (LSA)
Descripción de la
regla: Este desencadenador de regla indica un intento de modificar la configuración de LSA, que es un cursor anterior al volcado de credenciales. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten la regla a las aplicaciones de autenticación utilizadas en su entorno o que desactiven la firma si hay demasiados falsos positivos.
Clase de regla: Registro
Regla:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
Explicación de la #2MITRE técnica: T 1559.001 – comunicación entre procesos: modelo de objetos componentes para Fin7
COM es un componente de la interfaz de programación de aplicaciones (API) nativa Windows que permite la interacción entre objetos de software o código ejecutable que implementa una o varias interfaces.
Adversaries podría abusar de COM para ejecutar comandos locales o la ejecución de carga útil. Se exponen varias interfaces COM que Adversaries puede abusar para invocar una ejecución arbitraria a través de varios lenguajes de programación como C, C++, Java y VBScript. También existen objetos COM específicos para realizar directamente funciones que van más allá de la ejecución de código. Estos objetos incluyen la creación de tareas planificadas, la descarga/ejecución sin archivos y otros comportamientos problemáticos, como la escalación de privilegios y la persistencia.
#2.1 Rule Name: T 1559.001 – com-Word .Application con PowerShell y Python Descripción de la
regla: Este desencadenador de regla indica un intento de abuso del objeto componente de Windows para la ejecución de código de forma local o remota a través de la aplicación Word a través de Python o PowerShell.
Clase de regla: Registro
Regla:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application mediante Mshta-JScript y VBScript Descripción de la
regla: Este desencadenador de regla indica un intento de abuso del objeto COM mediante MSHTA a través de JavaScript o VBScript.
Clase de regla: Registro
Regla:
Rule {
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 – com-uso deWMI POWERSHELL/WMIC/Mshta/VBScript
Descripción de la
regla: Este desencadenador de regla indica un intento de abuso del objeto COM mediante WMI a través de PowerShell, WMIC, MSHTA o VBScript. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Procedimientos
Regla:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
Explicación de la #3MITRE técnica: T1138 – Application SHIMMING
La infraestructura de compatibilidad de aplicaciones de Microsoft Windows o Framework (Application Shim) permite la compatibilidad con versiones anteriores del software a medida que el código base del sistema operativo cambia a lo largo del tiempo. Cuando se ejecuta un programa, se hace referencia a la caché de la corrección de compatibilidad para determinar si el programa requiere el uso de la base de datos de correcciones de compatibilidad (.sdb ). Si es así, la base de datos de corrección utiliza el enlace para redirigir el código según sea necesario para comunicarse con el sistema operativo.
Para mantener la seguridad de las correcciones de compatibilidad, Windows diseñadas para que se ejecuten en modo de usuario para que no puedan modificar el kernel y es necesario disponer de derechos de administrador para instalar una corrección. No obstante, se pueden utilizar algunas correcciones para omitir el control de cuentas de usuario (UAC) (RedirectEXE), inyectar dll en procesos (InjectDLL), desactivar prevención de ejecución de datos (DisableNX) y control de excepciones de estructura (DisableSEH) e interceptar direcciones de memoria (GetProcAddress). Al igual que el enganche, el uso de estas correcciones de compatibilidad puede permitir a un adversario realizar varios actos maliciosos como elevar los permisos, instalar puertas traseras y desactivar las defensas como Windows Defender.
#3.1 Rule Name: T1138: aplicación SHIMMING-persistencia mediante archivo SDB-acceso al registro Descripción de la
regla: Este desencadenador de regla indica un intento de abuso de aplicaciones SHIMMING mediante acceso al registro. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Registro
Regla:
Rule {
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – aplicación SHIMMING-persistencia mediante archivo SDB Descripción de la
regla: Este desencadenador de reglas indica un intento de abuso de aplicaciones SHIMMING a través de la creación y ejecución de archivos SDB a través de PowerShell.
Clase de regla: Procedimientos
Regla:
Rule {
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
Explicación de la #4MITRE técnica: T1088 – omitir UAC Fin7
Windows UAC permite a un programa elevar sus permisos (que se rastrean como niveles de integridad de bajo a alto) para llevar a cabo una tarea con permisos de nivel de administrador, posiblemente solicitando al usuario una confirmación. El impacto en el usuario varía desde denegar la operación con un alto nivel de implementación a fin de permitir que el usuario realice la acción si se encuentra en el grupo administradores locales y hace clic en la solicitud, o bien permitir que introduzca una contraseña de administrador para completar la acción.
Un ejemplo es el uso de rundll32 para cargar una DLL diseñada especialmente que carga un objeto de modelo de objeto componente de elevación automática y realiza una operación de archivo en un directorio protegido que normalmente requeriría un acceso elevado. El malware también se puede inyectar en un proceso de confianza para obtener permisos elevados sin preguntar al usuario. Nombre de la
regla: T1088-secuestro de dll de omisiónUAC-Sysprep
Descripción de la
regla: Este desencadenador de reglas indica un intento de omitir el control de cuentas de usuario mediante la apropiación de dll del sistema.
Clase de regla: Procedimientos
Regla:
Rule {
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
Explicación de la #5MITRE técnica: T1053 – tarea PLANIFICAda para FIN7
Adversaries podría abusar de la Windows planificador de tareas para realizar la planificación de tareas para la ejecución inicial o periódica de malware. Existen varias formas de acceder al planificador de tareas en Windows. Un adversario podría utilizar Windows programador de tareas para ejecutar programas durante el inicio del sistema o de forma planificada para la persistencia. El planificador de tareas de Windows también se puede utilizar para realizar la ejecución remota como parte del movimiento lateral o para ejecutar un proceso en el contexto de una cuenta específica (como el sistema). Nombre de la
regla: T1053: tarea planificada para FIN7 medianteschtask crear/modificar/eliminar
Descripción de la
regla: Este desencadenador de reglas indica un intento de abuso de la función del planificador de tareas para la persistencia y la ejecución. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Procedimientos
Regla:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
Explicación de la #6MITRE técnica: T1047 – instrumental de administración de Windows (WMI) para FIN7
WMI es una función de administración de Windows que proporciona un entorno uniforme para el acceso local y remoto a los componentes del sistema Windows. WMI se basa en el servicio WMI para el acceso remoto y local, y el bloque de mensajes del servidor (SMB) y el servicio de llamada a procedimiento remoto (RPC) para el acceso a distancia.
Un adversario puede utilizar WMI para interactuar con sistemas locales y remotos y utilizarlo para realizar muchas funciones tácticas, como la recopilación de información para el descubrimiento y la ejecución remota de archivos como parte del movimiento lateral. Nombre de la
regla: T1047: ejecución de un programa mediante WMIC Descripción de la
regla: Este desencadenador de regla indica un intento de abuso de la función WMI para la persistencia. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Procedimientos
Regla:
Rule {
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
Explicación de la #7MITRE técnica: T1503: credenciales de navegadores web-credenciales
Chrome/Firefox/ópera Adversaries podría adquirir credenciales de los navegadores web mediante la lectura de archivos específicos para el navegador de destino. Los navegadores web suelen guardar las credenciales como nombres de usuario y contraseñas de sitios web para que no sea necesario introducirlas manualmente en el futuro. Los navegadores web suelen almacenar las credenciales en un formato cifrado dentro de un almacén de credenciales. No obstante, existen métodos para extraer credenciales de texto sin formato de los navegadores Web. Adversaries también puede adquirir credenciales buscando la memoria del proceso del navegador web para patrones que coincidan con las credenciales. Después de adquirir las credenciales de los navegadores web, Adversaries podría intentar reciclar las credenciales a través de distintos sistemas o cuentas para ampliar el acceso. Nombre de la
regla: T1503: credenciales de navegadores web-credenciales Chrome/Firefox/ópera Descripción de la
regla: Este desencadenador de regla indica un intento de acceso a los archivos utilizados para almacenar las credenciales en los navegadores. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Rule {
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
explicación de la #8MITRE técnica: T1060 – registro de llaves de ejecución/carpeta de inicio para FIN7
Al agregar una entrada al "ejecutar claves" en el registro o en la carpeta de inicio, el programa al que se hace referencia se ejecutará cuando un usuario inicie sesión. Estos programas se ejecutan bajo el contexto del usuario y tienen el nivel de permisos asociado a la cuenta.
#8.1 Rule Name: T1060: ejecución automática de.lnk/.vbs/.vba archivos en el registro
Descripción de la
regla: Este desencadenador de reglas indica un intento de ejecutar programas en el inicio de sesión de usuario. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Registro
Regla:
Rule {
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – carpeta de inicio-archivos en carpetas de inicio Descripción de la
regla: Este desencadenador de regla indica un intento de crear archivos en la carpeta de inicio. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
Explicación de la #9MITRE técnica: T1204 – ejecución de usuario para Fin7
Un adversario podría depender de acciones concretas de un usuario para obtener una ejecución. Esta acción puede ser una ejecución directa de código, como cuando un usuario abre un ejecutable malicioso entregado a través de un archivo adjunto de Spear phishing con el icono y la extensión aparente de los archivos de documento. También podría acarrear otras técnicas de ejecución, como cuando un usuario hace clic en un vínculo entregado a través de un vínculo de Spear phishing que conduce al aprovechamiento de una vulnerabilidad de navegador o aplicación mediante el aprovechamiento de la ejecución de clientes. Es posible que Adversaries utilice varios tipos de archivos que requieren que un usuario ejecute ellos, incluidos.doc , .rtf .exe .pdf .scr .lnk .xls .pif ,,,,,, y. .cpl
Nombre de la
regla: T1204: ejecución de la carga a través del archivo LNK incrustado en el documento de Office Descripción de la
regla: Este desencadenador de regla indica un intento de crear un.lnk archivo a partir de una aplicación Word. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
Explicación de la #10MITRE técnica: T1003 – credenciales de volcado para FIN7
Supervisión de procesos inesperados conlsass.exe los que interactúa.
Ajustes generales los volcadores de credenciales como Mimikatz acceder al proceso servicio de subsistema LSA (LSASS) abriendo el proceso, localizando la clave de los secretos de LSA y descifrando las secciones de la memoria donde se almacenan los detalles de credenciales. Los volcadores de credenciales también pueden utilizar métodos para la inyección de procesos reflectantes a fin de reducir los posibles indicadores de actividad maliciosa.
#10.1 Rule Name: T1003 – exportación de SAM desde el registro o LSA exportar entrada del registro Descripción de la
regla: Este desencadenador de regla indica un intento de exportar SAM desde el registro. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Registro
Regla:
Rule {
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copia de archivo SAM mediante las herramientas del servicio de instantáneas de volumen Descripción de la
regla: Este desencadenador de regla indica un intento de copiar el archivo SAM mediante las herramientas del servicio de instantáneas de volumen. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Rule {
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
Explicación de la #11MITRE técnica: T1055 – inyección
de procesos Adversaries podría inyectar código en los procesos para eludir las defensas basadas en procesos y, posiblemente, elevar permisos. La inyección de procesos es un método para ejecutar código arbitrario en el espacio de direcciones de un proceso en directo independiente. La ejecución de código en el contexto de otro proceso podría permitir el acceso a la memoria, el sistema o los recursos de red del proceso, y posiblemente permisos elevados. La ejecución mediante la inyección de procesos también podría eludir la detección de productos de seguridad, ya que la ejecución se enmascara en un proceso legítimo. Nombre de la
regla: T1055 –ODBCconf dll inyección-DefenseEvasion para FIN7
Descripción de la
regla: Este desencadenador de regla indica un intento de abusoodbcconf.exe para inyectar un DLL potencialmente malicioso.
Clase de regla: Procedimientos
Regla:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
Explicación de la #12MITRE técnica:T1569 – System Services: Service Execution
Adversaries podría abusar de los servicios del sistema o daemons para ejecutar comandos o programas. Adversaries puede ejecutar contenido malicioso mediante la interacción con los servicios o la creación de ellos. Muchos servicios están configurados para ejecutarse durante el arranque, lo que puede contribuir a lograr la persistencia (crear o modificar el proceso del sistema), pero Adversaries también puede abusar de los servicios durante una ejecución única o temporal. Nombre de la
regla: T1569: ejecución de servicio mediante Descripción de laPSExec
regla: Este desencadenador de regla indica un intento de abusoPSExec mediante el uso de canalizaciones con nombre para transferir salidas, entradas y errores estándar. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Rule {
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
- Desea endurecer sus defensas.
- Está dispuesto a utilizar funciones que se deben ajustar y supervisar.
Seleccioneción del contenido de las reglas de experto
Para obtener instrucciones sobre cómo crear reglas de experto, consulte la sección "crear reglas de experto" de la 10.7.x Guía del productode Endpoint Security. Se recomienda agregar estas reglas a "informe" solo con un nivel de gravedad "medio".
Probamos estas reglas en el Windows 10 2020 de mayo de la actualización con la actualización de ENS 10.7.0 de noviembre de 2020. También probamos estas reglas para los falsos positivos en nuestro entorno interno y, en consecuencia, se han agregado exclusiones. No obstante, si se produce un falso positivo en su entorno, le recomendamos que cree exclusiones que se ajusten a sus necesidades.
Reglas de experto
A continuación se ofrece una lista de reglas, incluida una descripción, que se recomienda agregar a su entorno. También hay una explicación de para los
- T1089 – desactivación de herramientas de seguridad para Fin7
- T 1559.001 – comunicación entre procesos: modelo de objetos componentes para Fin7
- T1138: aplicación SHIMMING
- T1088 – omitir control de cuentas de usuario Fin7
- T1053 – tarea planificada para FIN7
- T1047: instrumental de administración de Windows para FIN7
- T1503: credenciales de navegadores web-credenciales Chrome/Firefox/ópera
- T1060 – carpeta de ejecución de claves de registro/Inicio para FIN7
- T1204 – ejecución de usuario para Fin7
- T1003: volcado de credenciales para FIN7
- T1055 – inyección de procesos
- T1569 – servicios del sistema: ejecución de servicios
#1
Adversaries podría desactivar las herramientas de seguridad para evitar posibles detecciones de sus herramientas y actividades. Esta acción puede incluir el software de seguridad de matanza o los procesos de registro de eventos; eliminación de claves de registro para que las herramientas no se inicien en tiempo de ejecución; u otros métodos para interferir con el análisis de seguridad o la generación de informes de eventos. Nombre de la
regla: T1089 – desactivación de las herramientas de seguridad-cambios de configuración de los anuncios de estado de
regla: Este desencadenador de regla indica un intento de modificar la configuración de LSA, que es un cursor anterior al volcado de credenciales. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten la regla a las aplicaciones de autenticación utilizadas en su entorno o que desactiven la firma si hay demasiados falsos positivos.
Clase de regla: Registro
Regla:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
Explicación de la #2
COM es un componente de la interfaz de programación de aplicaciones (API) nativa Windows que permite la interacción entre objetos de software o código ejecutable que implementa una o varias interfaces.
Adversaries podría abusar de COM para ejecutar comandos locales o la ejecución de carga útil. Se exponen varias interfaces COM que Adversaries puede abusar para invocar una ejecución arbitraria a través de varios lenguajes de programación como C, C++, Java y VBScript. También existen objetos COM específicos para realizar directamente funciones que van más allá de la ejecución de código. Estos objetos incluyen la creación de tareas planificadas, la descarga/ejecución sin archivos y otros comportamientos problemáticos, como la escalación de privilegios y la persistencia.
#2.1 Rule Name: T 1559.001 – com-Word .Application con PowerShell y Python Descripción de la
regla: Este desencadenador de regla indica un intento de abuso del objeto componente de Windows para la ejecución de código de forma local o remota a través de la aplicación Word a través de Python o PowerShell.
Clase de regla: Registro
Regla:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application mediante Mshta-JScript y VBScript Descripción de la
regla: Este desencadenador de regla indica un intento de abuso del objeto COM mediante MSHTA a través de JavaScript o VBScript.
Clase de regla: Registro
Regla:
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 – com-uso de
regla: Este desencadenador de regla indica un intento de abuso del objeto COM mediante WMI a través de PowerShell, WMIC, MSHTA o VBScript. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Procedimientos
Regla:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
Explicación de la #3
La infraestructura de compatibilidad de aplicaciones de Microsoft Windows o Framework (Application Shim) permite la compatibilidad con versiones anteriores del software a medida que el código base del sistema operativo cambia a lo largo del tiempo. Cuando se ejecuta un programa, se hace referencia a la caché de la corrección de compatibilidad para determinar si el programa requiere el uso de la base de datos de correcciones de compatibilidad (
Para mantener la seguridad de las correcciones de compatibilidad, Windows diseñadas para que se ejecuten en modo de usuario para que no puedan modificar el kernel y es necesario disponer de derechos de administrador para instalar una corrección. No obstante, se pueden utilizar algunas correcciones para omitir el control de cuentas de usuario (UAC) (RedirectEXE), inyectar dll en procesos (InjectDLL), desactivar prevención de ejecución de datos (DisableNX) y control de excepciones de estructura (DisableSEH) e interceptar direcciones de memoria (GetProcAddress). Al igual que el enganche, el uso de estas correcciones de compatibilidad puede permitir a un adversario realizar varios actos maliciosos como elevar los permisos, instalar puertas traseras y desactivar las defensas como Windows Defender.
#3.1 Rule Name: T1138: aplicación SHIMMING-persistencia mediante archivo SDB-acceso al registro Descripción de la
regla: Este desencadenador de regla indica un intento de abuso de aplicaciones SHIMMING mediante acceso al registro. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Registro
Regla:
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – aplicación SHIMMING-persistencia mediante archivo SDB Descripción de la
regla: Este desencadenador de reglas indica un intento de abuso de aplicaciones SHIMMING a través de la creación y ejecución de archivos SDB a través de PowerShell.
Clase de regla: Procedimientos
Regla:
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
Explicación de la #4
Windows UAC permite a un programa elevar sus permisos (que se rastrean como niveles de integridad de bajo a alto) para llevar a cabo una tarea con permisos de nivel de administrador, posiblemente solicitando al usuario una confirmación. El impacto en el usuario varía desde denegar la operación con un alto nivel de implementación a fin de permitir que el usuario realice la acción si se encuentra en el grupo administradores locales y hace clic en la solicitud, o bien permitir que introduzca una contraseña de administrador para completar la acción.
Un ejemplo es el uso de rundll32 para cargar una DLL diseñada especialmente que carga un objeto de modelo de objeto componente de elevación automática y realiza una operación de archivo en un directorio protegido que normalmente requeriría un acceso elevado. El malware también se puede inyectar en un proceso de confianza para obtener permisos elevados sin preguntar al usuario. Nombre de la
regla: T1088-secuestro de dll de omisión
regla: Este desencadenador de reglas indica un intento de omitir el control de cuentas de usuario mediante la apropiación de dll del sistema.
Clase de regla: Procedimientos
Regla:
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
Explicación de la #5
Adversaries podría abusar de la Windows planificador de tareas para realizar la planificación de tareas para la ejecución inicial o periódica de malware. Existen varias formas de acceder al planificador de tareas en Windows. Un adversario podría utilizar Windows programador de tareas para ejecutar programas durante el inicio del sistema o de forma planificada para la persistencia. El planificador de tareas de Windows también se puede utilizar para realizar la ejecución remota como parte del movimiento lateral o para ejecutar un proceso en el contexto de una cuenta específica (como el sistema). Nombre de la
regla: T1053: tarea planificada para FIN7 mediante
regla: Este desencadenador de reglas indica un intento de abuso de la función del planificador de tareas para la persistencia y la ejecución. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Procedimientos
Regla:
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
Explicación de la #6
WMI es una función de administración de Windows que proporciona un entorno uniforme para el acceso local y remoto a los componentes del sistema Windows. WMI se basa en el servicio WMI para el acceso remoto y local, y el bloque de mensajes del servidor (SMB) y el servicio de llamada a procedimiento remoto (RPC) para el acceso a distancia.
Un adversario puede utilizar WMI para interactuar con sistemas locales y remotos y utilizarlo para realizar muchas funciones tácticas, como la recopilación de información para el descubrimiento y la ejecución remota de archivos como parte del movimiento lateral. Nombre de la
regla: T1047: ejecución de un programa mediante WMIC Descripción de la
regla: Este desencadenador de regla indica un intento de abuso de la función WMI para la persistencia. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Procedimientos
Regla:
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
Explicación de la #7
Chrome/Firefox/ópera Adversaries podría adquirir credenciales de los navegadores web mediante la lectura de archivos específicos para el navegador de destino. Los navegadores web suelen guardar las credenciales como nombres de usuario y contraseñas de sitios web para que no sea necesario introducirlas manualmente en el futuro. Los navegadores web suelen almacenar las credenciales en un formato cifrado dentro de un almacén de credenciales. No obstante, existen métodos para extraer credenciales de texto sin formato de los navegadores Web. Adversaries también puede adquirir credenciales buscando la memoria del proceso del navegador web para patrones que coincidan con las credenciales. Después de adquirir las credenciales de los navegadores web, Adversaries podría intentar reciclar las credenciales a través de distintos sistemas o cuentas para ampliar el acceso. Nombre de la
regla: T1503: credenciales de navegadores web-credenciales Chrome/Firefox/ópera Descripción de la
regla: Este desencadenador de regla indica un intento de acceso a los archivos utilizados para almacenar las credenciales en los navegadores. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
explicación de la #8
Al agregar una entrada al "ejecutar claves" en el registro o en la carpeta de inicio, el programa al que se hace referencia se ejecutará cuando un usuario inicie sesión. Estos programas se ejecutan bajo el contexto del usuario y tienen el nivel de permisos asociado a la cuenta.
#8.1 Rule Name: T1060: ejecución automática de
regla: Este desencadenador de reglas indica un intento de ejecutar programas en el inicio de sesión de usuario. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Registro
Regla:
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – carpeta de inicio-archivos en carpetas de inicio Descripción de la
regla: Este desencadenador de regla indica un intento de crear archivos en la carpeta de inicio. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
Explicación de la #9
Un adversario podría depender de acciones concretas de un usuario para obtener una ejecución. Esta acción puede ser una ejecución directa de código, como cuando un usuario abre un ejecutable malicioso entregado a través de un archivo adjunto de Spear phishing con el icono y la extensión aparente de los archivos de documento. También podría acarrear otras técnicas de ejecución, como cuando un usuario hace clic en un vínculo entregado a través de un vínculo de Spear phishing que conduce al aprovechamiento de una vulnerabilidad de navegador o aplicación mediante el aprovechamiento de la ejecución de clientes. Es posible que Adversaries utilice varios tipos de archivos que requieren que un usuario ejecute ellos, incluidos
regla: T1204: ejecución de la carga a través del archivo LNK incrustado en el documento de Office Descripción de la
regla: Este desencadenador de regla indica un intento de crear un
Clase de regla: Programa
Regla:
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
Explicación de la #10
Supervisión de procesos inesperados con
#10.1 Rule Name: T1003 – exportación de SAM desde el registro o LSA exportar entrada del registro Descripción de la
regla: Este desencadenador de regla indica un intento de exportar SAM desde el registro. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Registro
Regla:
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copia de archivo SAM mediante las herramientas del servicio de instantáneas de volumen Descripción de la
regla: Este desencadenador de regla indica un intento de copiar el archivo SAM mediante las herramientas del servicio de instantáneas de volumen. Esta regla es para la supervisión o la telemetría. Se recomienda a los clientes que ajusten las reglas a las aplicaciones utilizadas en su entorno o que desactiven la firma si hay falsos positivos.
Clase de regla: Programa
Regla:
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
Explicación de la #11
de procesos Adversaries podría inyectar código en los procesos para eludir las defensas basadas en procesos y, posiblemente, elevar permisos. La inyección de procesos es un método para ejecutar código arbitrario en el espacio de direcciones de un proceso en directo independiente. La ejecución de código en el contexto de otro proceso podría permitir el acceso a la memoria, el sistema o los recursos de red del proceso, y posiblemente permisos elevados. La ejecución mediante la inyección de procesos también podría eludir la detección de productos de seguridad, ya que la ejecución se enmascara en un proceso legítimo. Nombre de la
regla: T1055 –
regla: Este desencadenador de regla indica un intento de abuso
Clase de regla: Procedimientos
Regla:
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
Explicación de la #12
Adversaries podría abusar de los servicios del sistema o daemons para ejecutar comandos o programas. Adversaries puede ejecutar contenido malicioso mediante la interacción con los servicios o la creación de ellos. Muchos servicios están configurados para ejecutarse durante el arranque, lo que puede contribuir a lograr la persistencia (crear o modificar el proceso del sistema), pero Adversaries también puede abusar de los servicios durante una ejecución única o temporal. Nombre de la
regla: T1569: ejecución de servicio mediante Descripción de la
regla: Este desencadenador de regla indica un intento de abuso
Clase de regla: Programa
Regla:
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: