T1546: ВИКОНАННЯ, СПРОВОКОВАНЕ ПОДІЄЮ
Зловмисники використовують системні механізми, які запускають програми у відповідь на конкретні події (вхід у систему, запуск певного додатка, зміна пароля або навіть рух миші). Замість того, щоб постійно тримати вірус активним у пам'яті, хакер налаштовує «пастку»: щойно відбувається подія, ОС сама запускає шкідливий код. Це забезпечує надійне закріплення та часто дозволяє підвищити привілеї, якщо подію обробляє системна служба.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть встановлювати стійкість та/або підвищувати привілеї, використовуючи системні механізми, які запускають виконання на основі конкретних подій. Різні операційні системи мають засоби для моніторингу та підписки на події, такі як вхід у систему або інша активність користувача (наприклад, запуск певних програм чи бінарних файлів). Хмарні середовища також можуть підтримувати різні функції та сервіси, які моніторять події в хмарі та можуть бути викликані у відповідь на них.
Зловмисники можуть зловживати цими механізмами як засобом підтримки постійного доступу до жертви шляхом багаторазового виконання шкідливого коду. Отримавши доступ до системи жертви, зловмисники можуть створювати або змінювати тригери подій так, щоб вони вказували на шкідливий контент, який буде виконуватися щоразу, коли викликається тригер події.
Оскільки виконання може бути проксіоване обліковим записом із вищими дозволами, такими як SYSTEM або сервісні акаунти, зловмисник може зловживати цими механізмами виконання для підвищення своїх привілеїв.
Найцікавіші приклади «пасток»:
- Асоціації файлів (T1546.001): Хакер змінює налаштування так, щоб при відкритті будь-якого .txt файлу спочатку запускався вірус, а вже потім — Блокнот. Користувач нічого не підозрює, бо документ відкривається як зазвичай.
- Спеціальні можливості (T1546.008): Класична атака. Якщо замінити файл utilman.exe (центр спеціальних можливостей) на cmd.exe, то натиснувши комбінацію клавіш Win+U на вікні входу в Windows (де ще не введено пароль), зловмисник отримає командний рядок з повними правами SYSTEM.
- WMI Event Subscription (T1546.003): Це «безфайловий» метод. Зловмисник створює в базі даних WMI правило: «якщо вільне місце на диску C: зміниться, запусти цей скрипт». Це неймовірно важко виявити, бо на диску немає нових файлів або записів у звичному автозавантаженні.
- Screensaver (T1546.002): Зловмисник прописує шлях до свого шкідливого файлу в параметрі реєстру для заставки. Щойно комп’ютер простоює кілька хвилин і вмикається «акваріум» — запускається бекдор.
Чому це небезпечно?
- Прихованість: Код не працює постійно, він «спить» і прокидається лише на мить у відповідь на подію.
- Обхід захисту: Багато антивірусів фокусуються на запуску системи (Boot), але пропускають тригери, що спрацьовують пізніше.
- Автоматичне підвищення прав: Якщо подію (наприклад, зміну IP-адреси) обробляє системна служба, ваш шкідливий скрипт успадкує її права.
Як захиститися?
- Моніторинг реєстру: Слідкуйте за змінами в HKEY_CLASSES_ROOT (асоціації файлів) та HKCU\Control Panel\Desktop (скрінсейвери).
- Аудит WMI: Використовуйте Get-WMIObject або спеціалізовані утиліти для перевірки наявності незвичних __EventFilter та __EventConsumer.
- Захист системних папок: Увімкніть захист цілісності системних файлів (SFC / DISM), щоб запобігти заміні sethc.exe або utilman.exe.
- Sysmon: Налаштуйте логування подій 19, 20, 21 (WMI activity) для виявлення прихованих підписок.