Règles d’expert de prévention contre les exploits pour MITRE-FIN7/Carbanak
Articles techniques ID:
KB93828
Date de la dernière modification : 18/07/2022
Date de la dernière modification : 18/07/2022
Environnement
Endpoint Security (ENS) Prévention contre les menaces 10.7.x
Synthèse
Ces règles experts de prévention contre les exploits sont conçues pour se protéger contre une série de techniques d' MITRE attaque. Ces règles sont conçues pour les clients qui répondent aux critères ci-dessous :
Activation du contenu des règles d’expert
Pour obtenir des instructions sur la création de règles d’expert, reportez-vous à la section "création de règles expert" du 10.7.x Guide produitEndpoint Security. Nous vous recommandons d’ajouter ces règles au "rapport" uniquement avec un niveau de gravité "moyen".
Nous avons testé ces règles sur la Windows 10 mai 2020 mise à jour avec la mise à jour de ENS 10.7.0 novembre 2020. Nous avons également testé ces règles pour les faux positifs dans notre environnement interne, et des exclusions ont été ajoutées en conséquence. Toutefois, si votre environnement présente un faux positif, il est conseillé de créer des exclusions en fonction de vos besoins.
Règles expertes
La liste ci-après répertorie les règles, y compris la description, que nous vous recommandons d’ajouter à votre environnement. Il existe également une explication desMITRE techniques qu’ils couvrent.
#1MITRE Explication technique : T1089 : désactivation des outils de sécurité pour Fin7
Les adversaires peuvent désactiver les outils de sécurité pour éviter tout risque de détection de leurs outils et activités. Cette action peut inclure la mise à mort des processus de sécurité ou des processus de journalisation des événements. suppression des clés de registre de manière à ce que les outils ne démarrent pas au moment de l’exécution ; ou d’autres méthodes pour interférer avec l’analyse de sécurité ou la génération de rapports d’événements. Nom de la
règle : T1089 : désactivation des outils de sécurité-modifications de la configuration de l’annonce d’état des liaisons (LSA)
Description de la
règle : Ce déclencheur de règle indique une tentative de modification de la configuration LSA, qui est un pré-curseur vers le vidage des informations d’identification. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster la règle aux applications d’authentification utilisées dans leur environnement ou de désactiver la signature si le nombre de faux positifs est trop élevé.
Classe de règles : Registre
Règle :
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2MITRE Explication technique : T 1559.001 : communication inter-processus : modèle d’objet de composant pour Fin7
COM est un composant de l’interface de programmation d’application (API, Application Programming Interface) Windows qui permet d’interagir entre des objets logiciels ou du code exécutable qui met en œuvre une ou plusieurs interfaces.
Les adversaires peuvent abuser du modèle COM pour les commandes locales ou l’exécution de la charge active. Plusieurs interfaces COM sont exposées que les adversaires peuvent abuser pour appeler une exécution arbitraire via plusieurs langages de programmation tels que C, C++, Java et VBScript. Des objets COM spécifiques existent également pour exécuter directement des fonctions au-delà de l’exécution du code. Ces objets incluent la création de tâches planifiées, le téléchargement/l’exécution sans fichier et d’autres comportements de type adversaire, tels que l’élévation des privilèges et la persistance.
#2.1 Rule Name: T 1559.001 – com-Word .Application à l’aide de PowerShell et Python Description de la
règle : Ce déclencheur de règle indique une tentative d’abus de l’objet de composant Windows pour l’exécution de code localement ou à distance via le Word application via python ou PowerShell.
Classe de règles : Registre
Règle :
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application utilisant mshta-JScript et VBScript Description de la
règle : Ce déclencheur de règle indique une tentative d’abus de l’objet COM à l’aide de MSHTA via JavaScript ou VBScript.
Classe de règles : Registre
Règle :
Rule {
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 -com-utilisation deWMI PowerShell/WMIC/mshta/VBScript
Description de la
règle : Ce déclencheur de règle indique une tentative d’abus de l’objet COM à l’aide de WMI via PowerShell, WMIC, MSHTA ou VBScript. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Méthodes
Règle :
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3MITRE Explication technique : T1138 – ajustement
de l’application La Microsoft Windows infrastructure ou infrastructure de compatibilité des applications (shim d’application) permet la rétrocompatibilité des logiciels, car le code base du système d’exploitation évolue au fil du temps. Lors de l’exécution d’un programme, le shim cache est référencé pour déterminer si le programme nécessite l’utilisation de la base de données du shim (.sdb ). Si tel est le cas, la base de données du shim utilise un raccordement pour rediriger le code selon les besoins pour communiquer avec le système d’exploitation.
Pour sécuriser les shims, Windows les configurer pour qu’ils s’exécutent en mode utilisateur afin qu’ils ne puissent pas modifier le noyau, et vous devez disposer de droits d’administrateur pour installer un shim. Toutefois, certains shims peuvent être utilisés pour contourner le contrôle de compte d’utilisateur (UAC) (RedirectEXE), injecter des dll dans des processus (InjectDLL), désactiver la prévention de l’exécution des données (DisableNX) et structurer la gestion des exceptions (DisableSEH), et intercepter des adresses de mémoire (GetProcAddress). A l’instar de l’accrochage, l’utilisation de ces shims peut permettre à un adversaire de réaliser plusieurs actes malveillants tels que l’élévation des privilèges, l’installation de backdoors et la désactivation des défenses telles que Windows Defender.
#3.1 Rule Name: T1138 : ajustement d’application-persistance à l’aide du fichier SDB-accès au registre Description de la
règle : Ce déclencheur de règle indique une tentative d’abus application l’ajustement à l’aide de l’accès au registre. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Registre
Règle :
Rule {
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 : ajustement d’application-persistance à l’aide du fichier SDB Description de la
règle : Ce déclencheur de règle indique une tentative d’abus application l’ajustement à l’aide de la création et de l’exécution du fichier SDB via PowerShell.
Classe de règles : Méthodes
Règle :
Rule {
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4MITRE Explication technique : T1088 – contourner le contrôle de compte utilisateur Fin7
Windows UAC permet à un programme d’élever ses autorisations (suivies comme niveaux d’intégrité allant de faible à élevé) pour effectuer une tâche sous des autorisations de niveau administrateur, éventuellement en invitant l’utilisateur à confirmer. L’impact sur l’utilisateur est d’empêcher l’opération en cas de mise en œuvre élevée, de permettre à l’utilisateur d’effectuer l’action s’il se trouve dans le groupe des administrateurs locaux et de cliquer sur l’invite, ou d’entrer un mot de passe administrateur pour terminer l’action.
Un exemple est l’utilisation de rundll32 pour charger une DLL spécialement conçue qui charge un objet de modèle d’objet de composant à élévation automatique et effectue une opération de fichier dans un répertoire protégé qui nécessiterait généralement un accès élevé. Les logiciels malveillants (malwares) peuvent également être injectés dans un processus approuvé pour obtenir des autorisations élevées sans demander à un utilisateur. Nom de la
règle : T1088 : contournerUAC-Sysprep les détournements de dll
Description de la
règle : Ce déclencheur de règle indique une tentative de contournement du contrôle de compte d’utilisateur par le détournement des DLL système.
Classe de règles : Méthodes
Règle :
Rule {
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5MITRE Explication technique : T1053 – tâche PLANIFIÉe pour Fin7
Les adversaires peuvent abuser du planificateur de tâches Windows pour effectuer la planification des tâches pour l’exécution initiale ou récurrente de logiciels malveillants. Il existe plusieurs manières d’accéder au planificateur de tâches dans Windows. Un adversaire peut utiliser Windows planificateur de tâches pour exécuter des programmes au démarrage du système ou de manière planifiée pour la persistance. Le planificateur de tâches Windows peut également être utilisé abusivement pour effectuer une exécution à distance dans le cadre d’un déplacement latéral ou pour exécuter un processus dans le contexte d’un compte spécifié (tel que le système). Nom de la
règle : T1053 – tâche planifiée pour FIN7 à l’aide de la fonctionschtask créer/modifier/supprimer
Description de la
règle : Ce déclencheur de règle indique une tentative d’utilisation abusive de la fonctionnalité Planificateur de tâches pour la persistance et l’exécution. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Méthodes
Règle :
Rule {
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6MITRE Explication technique : T1047 – Windows Management Instrumentation (WMI) pour Fin7
WMI est une fonctionnalité d’administration de Windows qui fournit un environnement uniforme pour l’accès local et distant aux composants du système Windows. WMI s’appuie sur le service WMI pour l’accès local et distant et sur Server Message Block (SMB) et le service d’appel de procédure distante (RPC) pour l’accès à distance.
Un adversaire peut utiliser WMI pour interagir avec des systèmes locaux et distants et l’utiliser pour exécuter de nombreuses fonctions tactique, telles que la collecte d’informations pour la découverte et l’exécution à distance de fichiers dans le cadre d’un déplacement latéral. Nom de la
règle : T1047 : exécution d’un programme à l’aide de WMIC Description de la
règle : Ce déclencheur de règle indique une tentative d’utilisation abusive de la fonctionnalité WMI pour la persistance. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Méthodes
Règle :
Rule {
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7MITRE Explication technique : T1503 : informations d’identification à partir des navigateurs Web-informations d’identification
chrome/Firefox/Opera Les adversaires peuvent obtenir des informations d’identification à partir des navigateurs Web en lisant les fichiers propres au navigateur cible. Les navigateurs Web enregistrent généralement les informations d’identification, telles que les noms d’utilisateur de sites Web et les mots de passe, afin qu’ils ne soient pas entrés manuellement dans le futur. En règle générale, les navigateurs Web stockent les informations d’identification dans un format chiffré dans un magasin d’informations d’identification. Il existe toutefois des méthodes permettant d’extraire les informations d’identification en texte brut à partir des navigateurs Web. Les adversaires peuvent également obtenir des informations d’identification en recherchant des modèles qui correspondent généralement aux informations d’identification dans la mémoire de processus du navigateur Web. Après avoir acquis les informations d’identification à partir des navigateurs Web, les adversaires peuvent tenter de recycler les informations d’identification sur différents systèmes ou comptes pour développer l’accès. Nom de la
règle : T1503 : informations d’identification à partir des navigateurs Web-informations d’identification Chrome/Firefox/Opera Description de la
règle : Ce déclencheur de règle indique une tentative d’accès aux fichiers utilisés pour stocker les informations d’identification dans les navigateurs. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Rule {
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8MITRE explication technique : T1060 – Registre exécuter des clés/dossier de démarrage pour Fin7
L’ajout d’une entrée à la "exécuter les clés" dans le registre ou le dossier de démarrage entraîne l’exécution du programme référencé lorsqu’un utilisateur se connecte. Ces programmes sont exécutés dans le contexte de l’utilisateur et disposent du niveau d’autorisation associé au compte.
#8.1 Rule Name: T1060 – exécution automatique des.lnk/.vbs/.vba fichiers dans le registre
Description de la
règle : Ce déclencheur de règle indique une tentative d’exécution de programmes lors de la connexion d’un utilisateur. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Registre
Règle :
Rule {
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – dossier de démarrage-fichiers dans les dossiers de démarrage Description de la
règle : Ce déclencheur de règle indique une tentative de création de fichiers dans le dossier de démarrage. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9MITRE Explication technique : T1204 – exécution de l’utilisateur pour Fin7
Un adversaire peut s’appuyer sur des actions spécifiques d’un utilisateur pour obtenir son exécution. Il peut s’agir d’une exécution de code directe, par exemple lorsqu’un utilisateur ouvre un fichier exécutable malveillant remis par l’intermédiaire d’une pièce jointe au Spear Phishing avec l’icône et extension apparente d’un fichier de document. Il peut également entraîner d’autres techniques d’exécution, par exemple lorsqu’un utilisateur clique sur un lien fourni via un lien de phishing au Spear qui mène à l’exploitation d’un navigateur ou d’application vulnérabilité en utilisant son exploitation pour l’exécution du client. Les adversaires peuvent utiliser plusieurs types de fichiers qui nécessitent un utilisateur pour les exécuter, notamment.doc .scr .xls .pdf .exe .lnk .rtf .pif ,,,,,,, et. .cpl
Nom de la
règle : T1204 : exécution de la charge active via le fichier LNK incorporé dans le document Office Description de la
règle : Ce déclencheur de règle indique une tentative de création d’un.lnk fichier à partir d’une Word application. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10MITRE Explication technique : T1003 – vidage des informations d’identification pour Fin7
Surveillance des processus inattendus interagissant aveclsass.exe .
Partagés des dumps d’informations d’identification tels que Mimikatz l’accès au processus de service de sous-système LSA (LSASS) en ouvrant le processus, en localisant la clé LSA secrets et en déchiffrant les sections en mémoire dans lesquelles les informations d’identification sont stockées. Les sauvegardes d’informations d’identification peuvent également utiliser des méthodes pour l’injection de processus réfléchissant afin de réduire les éventuels indicateurs d’activité malveillante.
#10.1 Rule Name: T1003 – exporter le SAM à partir du registre ou de l’entrée de Registre LSA Export Description de la
règle : Ce déclencheur de règle indique une tentative d’exportation de SAM à partir du Registre. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Registre
Règle :
Rule {
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copier le fichier SAM à l’aide des outils du service de cliché instantané de volume Description de la
règle : Ce déclencheur de règle indique une tentative de copie du fichier SAM à l’aide des outils du service de cliché instantané de volume. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Rule {
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11MITRE Explication technique : T1055 – injection
de processus Les adversaires peuvent injecter du code dans les processus pour échapper aux défenses basées sur les processus et éventuellement élever les autorisations. L’injection de processus est une méthode d’exécution de code arbitraire dans l’espace d’adressage d’un processus actif distinct. L’exécution de code dans le contexte d’un autre processus peut permettre l’accès à la mémoire, aux ressources système ou réseau du processus et éventuellement aux autorisations élevées. L’exécution via l’injection de processus peut également échapper à la détection des produits de sécurité, car l’exécution est masquée dans le cadre d’un processus légitime. Nom de la
règle : T1055 :ODBCconf injection de dll-DefenseEvasion pour Fin7
Description de la
règle : Ce déclencheur de règle indique une tentative d’utilisation abusiveodbcconf.exe pour injecter une dll potentiellement malveillante.
Classe de règles : Méthodes
Règle :
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12MITRE Explication technique :T1569 – System Services: Service Execution
Les adversaires peuvent abuser des services système ou des démons pour exécuter des commandes ou des programmes. Les adversaires peuvent exécuter du contenu malveillant en interagissant avec ou en créant des services. De nombreux services sont configurés pour s’exécuter au démarrage, ce qui peut aider à réaliser la persistance (créer ou modifier le processus système), mais les adversaires peuvent également abuser des services pour une exécution ponctuelle ou temporaire. Nom de la
règle : T1569 – exécution de service à l’aide de Description de laPSExec
règle : Ce déclencheur de règle indique une tentative d’abusPSExec en utilisant des canaux nommés pour transférer une sortie standard, une entrée et une erreur. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Rule {
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
- Vous souhaitez renforcer leurs défenses.
- Êtes disposé à utiliser des fonctionnalités qui doivent être affinées et surveillées.
Activation du contenu des règles d’expert
Pour obtenir des instructions sur la création de règles d’expert, reportez-vous à la section "création de règles expert" du 10.7.x Guide produitEndpoint Security. Nous vous recommandons d’ajouter ces règles au "rapport" uniquement avec un niveau de gravité "moyen".
Nous avons testé ces règles sur la Windows 10 mai 2020 mise à jour avec la mise à jour de ENS 10.7.0 novembre 2020. Nous avons également testé ces règles pour les faux positifs dans notre environnement interne, et des exclusions ont été ajoutées en conséquence. Toutefois, si votre environnement présente un faux positif, il est conseillé de créer des exclusions en fonction de vos besoins.
Règles expertes
La liste ci-après répertorie les règles, y compris la description, que nous vous recommandons d’ajouter à votre environnement. Il existe également une explication des
- T1089 : désactivation des outils de sécurité pour Fin7
- T 1559.001 : communication inter-processus : modèle d’objet de composant pour Fin7
- T1138 : ajustement de l’application
- T1088 – contourner le contrôle de compte d’utilisateur Fin7
- T1053 – tâche planifiée pour FIN7
- T1047 : Instrumentation de gestion de Windows pour FIN7
- T1503 : informations d’identification à partir des navigateurs Web-informations d’identification Chrome/Firefox/Opera
- T1060 – Registre exécuter des clés/dossier de démarrage pour FIN7
- T1204 – exécution de l’utilisateur pour Fin7
- T1003 : vidage des informations d’identification pour FIN7
- T1055 : injection de processus
- T1569 – services système : exécution du service
#1
Les adversaires peuvent désactiver les outils de sécurité pour éviter tout risque de détection de leurs outils et activités. Cette action peut inclure la mise à mort des processus de sécurité ou des processus de journalisation des événements. suppression des clés de registre de manière à ce que les outils ne démarrent pas au moment de l’exécution ; ou d’autres méthodes pour interférer avec l’analyse de sécurité ou la génération de rapports d’événements. Nom de la
règle : T1089 : désactivation des outils de sécurité-modifications de la configuration de l’annonce d’état des
règle : Ce déclencheur de règle indique une tentative de modification de la configuration LSA, qui est un pré-curseur vers le vidage des informations d’identification. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster la règle aux applications d’authentification utilisées dans leur environnement ou de désactiver la signature si le nombre de faux positifs est trop élevé.
Classe de règles : Registre
Règle :
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2
COM est un composant de l’interface de programmation d’application (API, Application Programming Interface) Windows qui permet d’interagir entre des objets logiciels ou du code exécutable qui met en œuvre une ou plusieurs interfaces.
Les adversaires peuvent abuser du modèle COM pour les commandes locales ou l’exécution de la charge active. Plusieurs interfaces COM sont exposées que les adversaires peuvent abuser pour appeler une exécution arbitraire via plusieurs langages de programmation tels que C, C++, Java et VBScript. Des objets COM spécifiques existent également pour exécuter directement des fonctions au-delà de l’exécution du code. Ces objets incluent la création de tâches planifiées, le téléchargement/l’exécution sans fichier et d’autres comportements de type adversaire, tels que l’élévation des privilèges et la persistance.
#2.1 Rule Name: T 1559.001 – com-Word .Application à l’aide de PowerShell et Python Description de la
règle : Ce déclencheur de règle indique une tentative d’abus de l’objet de composant Windows pour l’exécution de code localement ou à distance via le Word application via python ou PowerShell.
Classe de règles : Registre
Règle :
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T 1559.001 – com-Word .Application utilisant mshta-JScript et VBScript Description de la
règle : Ce déclencheur de règle indique une tentative d’abus de l’objet COM à l’aide de MSHTA via JavaScript ou VBScript.
Classe de règles : Registre
Règle :
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T 1559.001 -com-utilisation de
règle : Ce déclencheur de règle indique une tentative d’abus de l’objet COM à l’aide de WMI via PowerShell, WMIC, MSHTA ou VBScript. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Méthodes
Règle :
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3
de l’application La Microsoft Windows infrastructure ou infrastructure de compatibilité des applications (shim d’application) permet la rétrocompatibilité des logiciels, car le code base du système d’exploitation évolue au fil du temps. Lors de l’exécution d’un programme, le shim cache est référencé pour déterminer si le programme nécessite l’utilisation de la base de données du shim (
Pour sécuriser les shims, Windows les configurer pour qu’ils s’exécutent en mode utilisateur afin qu’ils ne puissent pas modifier le noyau, et vous devez disposer de droits d’administrateur pour installer un shim. Toutefois, certains shims peuvent être utilisés pour contourner le contrôle de compte d’utilisateur (UAC) (RedirectEXE), injecter des dll dans des processus (InjectDLL), désactiver la prévention de l’exécution des données (DisableNX) et structurer la gestion des exceptions (DisableSEH), et intercepter des adresses de mémoire (GetProcAddress). A l’instar de l’accrochage, l’utilisation de ces shims peut permettre à un adversaire de réaliser plusieurs actes malveillants tels que l’élévation des privilèges, l’installation de backdoors et la désactivation des défenses telles que Windows Defender.
#3.1 Rule Name: T1138 : ajustement d’application-persistance à l’aide du fichier SDB-accès au registre Description de la
règle : Ce déclencheur de règle indique une tentative d’abus application l’ajustement à l’aide de l’accès au registre. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Registre
Règle :
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 : ajustement d’application-persistance à l’aide du fichier SDB Description de la
règle : Ce déclencheur de règle indique une tentative d’abus application l’ajustement à l’aide de la création et de l’exécution du fichier SDB via PowerShell.
Classe de règles : Méthodes
Règle :
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4
Windows UAC permet à un programme d’élever ses autorisations (suivies comme niveaux d’intégrité allant de faible à élevé) pour effectuer une tâche sous des autorisations de niveau administrateur, éventuellement en invitant l’utilisateur à confirmer. L’impact sur l’utilisateur est d’empêcher l’opération en cas de mise en œuvre élevée, de permettre à l’utilisateur d’effectuer l’action s’il se trouve dans le groupe des administrateurs locaux et de cliquer sur l’invite, ou d’entrer un mot de passe administrateur pour terminer l’action.
Un exemple est l’utilisation de rundll32 pour charger une DLL spécialement conçue qui charge un objet de modèle d’objet de composant à élévation automatique et effectue une opération de fichier dans un répertoire protégé qui nécessiterait généralement un accès élevé. Les logiciels malveillants (malwares) peuvent également être injectés dans un processus approuvé pour obtenir des autorisations élevées sans demander à un utilisateur. Nom de la
règle : T1088 : contourner
règle : Ce déclencheur de règle indique une tentative de contournement du contrôle de compte d’utilisateur par le détournement des DLL système.
Classe de règles : Méthodes
Règle :
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5
Les adversaires peuvent abuser du planificateur de tâches Windows pour effectuer la planification des tâches pour l’exécution initiale ou récurrente de logiciels malveillants. Il existe plusieurs manières d’accéder au planificateur de tâches dans Windows. Un adversaire peut utiliser Windows planificateur de tâches pour exécuter des programmes au démarrage du système ou de manière planifiée pour la persistance. Le planificateur de tâches Windows peut également être utilisé abusivement pour effectuer une exécution à distance dans le cadre d’un déplacement latéral ou pour exécuter un processus dans le contexte d’un compte spécifié (tel que le système). Nom de la
règle : T1053 – tâche planifiée pour FIN7 à l’aide de la fonction
règle : Ce déclencheur de règle indique une tentative d’utilisation abusive de la fonctionnalité Planificateur de tâches pour la persistance et l’exécution. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Méthodes
Règle :
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6
WMI est une fonctionnalité d’administration de Windows qui fournit un environnement uniforme pour l’accès local et distant aux composants du système Windows. WMI s’appuie sur le service WMI pour l’accès local et distant et sur Server Message Block (SMB) et le service d’appel de procédure distante (RPC) pour l’accès à distance.
Un adversaire peut utiliser WMI pour interagir avec des systèmes locaux et distants et l’utiliser pour exécuter de nombreuses fonctions tactique, telles que la collecte d’informations pour la découverte et l’exécution à distance de fichiers dans le cadre d’un déplacement latéral. Nom de la
règle : T1047 : exécution d’un programme à l’aide de WMIC Description de la
règle : Ce déclencheur de règle indique une tentative d’utilisation abusive de la fonctionnalité WMI pour la persistance. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Méthodes
Règle :
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7
chrome/Firefox/Opera Les adversaires peuvent obtenir des informations d’identification à partir des navigateurs Web en lisant les fichiers propres au navigateur cible. Les navigateurs Web enregistrent généralement les informations d’identification, telles que les noms d’utilisateur de sites Web et les mots de passe, afin qu’ils ne soient pas entrés manuellement dans le futur. En règle générale, les navigateurs Web stockent les informations d’identification dans un format chiffré dans un magasin d’informations d’identification. Il existe toutefois des méthodes permettant d’extraire les informations d’identification en texte brut à partir des navigateurs Web. Les adversaires peuvent également obtenir des informations d’identification en recherchant des modèles qui correspondent généralement aux informations d’identification dans la mémoire de processus du navigateur Web. Après avoir acquis les informations d’identification à partir des navigateurs Web, les adversaires peuvent tenter de recycler les informations d’identification sur différents systèmes ou comptes pour développer l’accès. Nom de la
règle : T1503 : informations d’identification à partir des navigateurs Web-informations d’identification Chrome/Firefox/Opera Description de la
règle : Ce déclencheur de règle indique une tentative d’accès aux fichiers utilisés pour stocker les informations d’identification dans les navigateurs. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8
L’ajout d’une entrée à la "exécuter les clés" dans le registre ou le dossier de démarrage entraîne l’exécution du programme référencé lorsqu’un utilisateur se connecte. Ces programmes sont exécutés dans le contexte de l’utilisateur et disposent du niveau d’autorisation associé au compte.
#8.1 Rule Name: T1060 – exécution automatique des
règle : Ce déclencheur de règle indique une tentative d’exécution de programmes lors de la connexion d’un utilisateur. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Registre
Règle :
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – dossier de démarrage-fichiers dans les dossiers de démarrage Description de la
règle : Ce déclencheur de règle indique une tentative de création de fichiers dans le dossier de démarrage. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9
Un adversaire peut s’appuyer sur des actions spécifiques d’un utilisateur pour obtenir son exécution. Il peut s’agir d’une exécution de code directe, par exemple lorsqu’un utilisateur ouvre un fichier exécutable malveillant remis par l’intermédiaire d’une pièce jointe au Spear Phishing avec l’icône et extension apparente d’un fichier de document. Il peut également entraîner d’autres techniques d’exécution, par exemple lorsqu’un utilisateur clique sur un lien fourni via un lien de phishing au Spear qui mène à l’exploitation d’un navigateur ou d’application vulnérabilité en utilisant son exploitation pour l’exécution du client. Les adversaires peuvent utiliser plusieurs types de fichiers qui nécessitent un utilisateur pour les exécuter, notamment
règle : T1204 : exécution de la charge active via le fichier LNK incorporé dans le document Office Description de la
règle : Ce déclencheur de règle indique une tentative de création d’un
Classe de règles : Fichiers
Règle :
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10
Surveillance des processus inattendus interagissant avec
#10.1 Rule Name: T1003 – exporter le SAM à partir du registre ou de l’entrée de Registre LSA Export Description de la
règle : Ce déclencheur de règle indique une tentative d’exportation de SAM à partir du Registre. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Registre
Règle :
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – copier le fichier SAM à l’aide des outils du service de cliché instantané de volume Description de la
règle : Ce déclencheur de règle indique une tentative de copie du fichier SAM à l’aide des outils du service de cliché instantané de volume. Cette règle est destinée à la surveillance ou à la télémétrie. Il est conseillé aux clients d’ajuster les règles aux applications utilisées dans leur environnement ou de désactiver la signature en cas de faux positifs.
Classe de règles : Fichiers
Règle :
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11
de processus Les adversaires peuvent injecter du code dans les processus pour échapper aux défenses basées sur les processus et éventuellement élever les autorisations. L’injection de processus est une méthode d’exécution de code arbitraire dans l’espace d’adressage d’un processus actif distinct. L’exécution de code dans le contexte d’un autre processus peut permettre l’accès à la mémoire, aux ressources système ou réseau du processus et éventuellement aux autorisations élevées. L’exécution via l’injection de processus peut également échapper à la détection des produits de sécurité, car l’exécution est masquée dans le cadre d’un processus légitime. Nom de la
règle : T1055 :
règle : Ce déclencheur de règle indique une tentative d’utilisation abusive
Classe de règles : Méthodes
Règle :
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12
Les adversaires peuvent abuser des services système ou des démons pour exécuter des commandes ou des programmes. Les adversaires peuvent exécuter du contenu malveillant en interagissant avec ou en créant des services. De nombreux services sont configurés pour s’exécuter au démarrage, ce qui peut aider à réaliser la persistance (créer ou modifier le processus système), mais les adversaires peuvent également abuser des services pour une exécution ponctuelle ou temporaire. Nom de la
règle : T1569 – exécution de service à l’aide de Description de la
règle : Ce déclencheur de règle indique une tentative d’abus
Classe de règles : Fichiers
Règle :
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :