Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1105
Злоумышленники могут передавать инструменты или другие файлы из внешней системы во взломанную среду. Инструменты или файлы могут быть скопированы из внешней системы, контролируемой Злоумышленником, в сеть жертвы по командно-контрольному каналу или по альтернативным протоколам, таким как ftp. После появления Злоумышленник может также передавать/распространять инструменты между устройствами жертвы внутри взломанной среды (т. е. Lateral Tool Transfer).
В Windows для загрузки инструментов злоумышленники могут использовать различные утилиты, такие как `copy`, `finger`, certutil и команды PowerShell, например IEX(New-Object Net.WebClient).downloadString() и Invoke-WebRequest.В системах Linux и macOS также существует множество утилит, таких как `curl`, `scp`, `sftp`, `tftp`, `rsync`, `finger` и `wget`.(Цитата: t1105_lolbas)
Злоумышленники также могут использовать программы установки и менеджеры пакетов, такие как `yum` или `winget`, для загрузки инструментов на хосты жертв. Злоумышленники также злоупотребляют функциями файловых приложений, такими как обработчик протокола Windows `search-ms`, для доставки вредоносных файлов жертвам через удаленный поиск файлов, вызываемый User Execution (обычно после взаимодействия с Phishing приманками).(Цит. по: T1105: Trellix_search-ms)
Файлы также могут передаваться с помощью различных веб-служб, а также встроенных или присутствующих в системе жертвы инструментов.(Цит. по: PTSecurity Cobalt Dec 2016) В некоторых случаях злоумышленники могут использовать для передачи файлов на системы жертв сервисы, синхронизирующие веб-клиент с локальным, такие как Dropbox или OneDrive.Например, скомпрометировав облачный аккаунт и войдя в веб-портал сервиса, злоумышленник может запустить автоматический процесс синхронизации, который перенесет файл на машину жертвы.(Цит. по: Dropbox Malware Sync)
https://attack.mitre.org/techniques/T1105
Визуализация смежных техник для T1105
| № | Техника |
|---|
