T1546: ВИКОНАННЯ ЗА ТРИГЕРОМ ПОДІЇ
Зловмисники використовують системні механізми, які запускають виконання коду у відповідь на специфічні події (вхід користувача, запуск певної програми, зміна налаштувань або поява нового файлу). Замість простого автозапуску, цей метод дозволяє шкідливому ПЗ залишатися в режимі очікування і активуватися лише тоді, коли це необхідно, часто з вищими привілеями (SYSTEM), що також сприяє підвищенню прав.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть забезпечувати стійкість (Persistence) та/або підвищувати привілеї (Privilege Escalation), використовуючи системні механізми, які запускають виконання на основі конкретних подій. Різні операційні системи мають засоби для моніторингу та підписки на події, такі як вхід у систему або інша активність користувача (наприклад, запуск певних програм чи бінарних файлів). Хмарні середовища також можуть підтримувати різні функції та сервіси, які здійснюють моніторинг і можуть викликатися у відповідь на специфічні хмарні події.
Зловмисники можуть зловживати цими механізмами як засобом підтримки постійного доступу до жертви шляхом багаторазового виконання шкідливого коду. Отримавши доступ до системи жертви, зловмисники можуть створювати або модифікувати тригери подій, щоб вони вказували на шкідливий вміст, який буде виконуватися щоразу, коли викликається тригер події.
Оскільки виконання може здійснюватися від імені облікового запису з вищими дозволами, такими як SYSTEM або сервісні акаунти, зловмисник може зловживати цими механізмами тригерного виконання для підвищення своїх привілеїв.
Приклади найнебезпечніших тригерів:
- WMI Event Subscriptions (T1546.003): Зловмисник реєструє фільтр подій (наприклад, “час роботи системи > 5 хвилин”) та споживач (consumer), який запускає код. Це один із найприхованіших методів, оскільки він існує лише в базі даних WMI.
- Асоціації файлів (T1546.001): Зміна налаштувань так, щоб при відкритті будь-якого .txt або .pdf файлу спочатку запускався скрипт зловмисника, а вже потім — текстовий редактор.
- Скрінсейвери (T1546.002): Підміна файлу заставки (.scr). Коли комп’ютер переходить у режим очікування, замість анімації запускається шкідливе ПЗ.
- IFEO (T1546.012): Використання ключа реєстру Debugger, щоб перенаправити запуск легітимної програми на шкідливу.
Чому це важко виявити?
- Відсутність постійного процесу: Шкідливий код не “висить” у пам’яті постійно, він з’являється лише в момент події.
- Легітимність: Багато тригерів використовуються системними утилітами для автоматизації.
- Різноманітність: 18 підтехнік дають зловмиснику величезний вибір точок для “засідки”.
Як захиститися?
- Моніторинг створення WMI-фільтрів та споживачів.
- Аудит змін у ключах реєстру, що відповідають за асоціації файлів та IFEO.
- Використання EDR для аналізу “батьківських” процесів (наприклад, якщо WmiPrvSE.exe раптом запускає powershell.exe).