MITRE ATT&CK T1562.001 - Ослабление защиты: Отключение или модификация средств защиты

Отключение или модификация средств защиты - это техника уклонения от защиты, которую злоумышленники используют для вмешательства в работу средств безопасности и мониторинга. Эта техника включает в себя отключение, модификацию или повреждение программного обеспечения безопасности, инструментов криминалистики или системных утилит для предотвращения обнаружения и реагирования. В результате вмешательства в работу этих инструментов атакующие могут обойти защиту конечных точек, избежать срабатывания предупреждений и действовать незаметно во взломанной среде. Эта техника часто встречается в атакующих кампаниях, когда атакующие стремятся сохранить контроль над системой, не будучи обнаруженными.

Использование злоумышленниками средств отключения или модификации средств защиты

Злоумышленники пытаются отключить встроенные и сторонние средства защиты, чтобы выполнить вредоносные действия незамеченными и неограниченными. В этом разделе мы рассмотрим примеры процедур, используемых против распространенных средств защиты.

Отключение Windows Defender и AMSI

Windows Defender - это встроенная функция безопасности, разработанная компанией Microsoft для операционных систем Windows. Основное назначение Windows Defender - защита компьютеров и устройств под управлением Windows от широкого спектра угроз безопасности, включая вирусы, вредоносные программы, шпионские программы и другие вредоносные программы. Поскольку во многих системах Windows Defender входит в конфигурацию по умолчанию, злоумышленники разработали новые методы отключения Windows Defender.

В мае 2024 года сообщалось, что программа INC ransomware использует встроенную утилиту Windows под названием SystemSettingsAdminFlows.exe и отключает Защитник Windows. Приведенные ниже команды используются для изменения ключей реестра, связанных с Windows Defender, с помощью скомпрометированной учетной записи пользователя.

SystemSettingsAdminFlows.exe Defender DisableEnhancedNotifications 1

SystemSettingsAdminFlows.exe Defender SubmitSamplesConsent 0

SystemSettingsAdminFlows.exe Defender SpynetReporting 0

SystemSettingsAdminFlows.exe Defender RTP 1

Результат этих вредоносных действий можно отследить с помощью Windows EID 5007. Пример журнала приведен ниже.

Windows Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings, as this may be the result of malware.

Old value: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\SpyNetReporting = 0x2

New value: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\SpyNetReporting = 0x0

В другом случае вредоносная программа WhisperGate добавила свой путь в список исключений Windows Defender с помощью команды, приведенной ниже. Этот метод позволяет злоумышленникам удалять свои вредоносные папки из запланированных сканирований, сканирований по требованию и постоянной защиты и мониторинга в режиме реального времени.

1	powershell Set-MpPreference -ExclusionPath C:\Temp

Список исключений можно просмотреть в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions.

Злоумышленники также используют общедоступные скрипты для отключения Windows Defender и Smartscreen. В марте 2024 года сообщалось, что группа BlackCat ransomware использует инструмент ToggleDefender, который оставляет скомпрометированные системы для дальнейшей эксплуатации.

Antimalware Scan Interface (AMSI) - еще одна технология Microsoft, предназначенная для улучшения взаимодействия между приложениями и антивирусными продуктами, установленными в системе Windows. AMSI был представлен в Windows 10 и представляет собой стандартизированный интерфейс, позволяющий разработчикам программного обеспечения запрашивать сканирование содержимого на предмет потенциальной вредоносной активности. AMSI позволяет приложениям использовать возможности установленных антивирусных средств, что способствует более надежной защите от различных видов вредоносного ПО. Злоумышленники отключают AMSI, чтобы обойти передовые возможности обнаружения угроз, что позволяет им действовать скрытно, выполнять вредоносный код и сохранять устойчивость в скомпрометированной системе.

В сентябре 2024 года было замечено, что злоумышленники используют следующий сценарий PowerShell под названием amsi_patch.ps1 для отключения AMSI. После отключения AMSI злоумышленники развертывают вредоносное ПО K4Spreader, бэкдор Tsunami и криптомайнер XMRig.

Отключение антивирусного программного обеспечения

Организации используют антивирусное программное обеспечение в качестве основного компонента стратегии кибербезопасности для снижения рисков, связанных с киберугрозами. Являясь основополагающим уровнем защиты, они используются для укрепления системы безопасности организации наряду с другими мерами безопасности. Злоумышленники стремятся вывести антивирус из строя в качестве стратегического маневра, чтобы обойти обнаружение, осуществить сложные атаки, сохранить устойчивость и достичь своих конкретных вредоносных целей в целевых средах.

В январе 2024 года сообщалось, что программа-вымогатель Kasseika использует известные уязвимые драйверы для применения техники Bring Your Own Vulnerable Driver (BYOVD) [6]. Эта техника позволяет злоумышленникам отключать антивирусное программное обеспечение с помощью подписанного драйвера viragt64.sys. Получив доступ к цели, злоумышленники устанавливают на нее свое вредоносное ПО и уязвимый драйвер. Затем они сканируют и уничтожают антивирусное ПО в скомпрометированной системе, используя приведенные ниже команды.

//Загрузка viragt64.sys

FileW = CreateFileW(L"\\\\.\\Viragtlt", 0xC0000000, 0, 0i64, 3u, 0x80u, 0i64,);

//Сканирование активного процесса в скомпрометированной системе

if(DeviceloControl(FileW, 0x82730030, v12, v11 + 1, OutBuffer, 0x64u,BytesReturned, 0i64) )

v1 = 1;

// Прекращение работы антивирусного программного обеспечения

if(ZwOpenProcess(&ProcessHandle, 0x1F0FFFu, &ObjectAttributes, &ClientId) >= 0 )

ZwTerminateProcess (ProcessHandle, 99);

Отключение обнаружения и реагирования на конечные точки (EDR)

Решения Endpoint Detection and Response (EDR) непрерывно отслеживают и анализируют действия конечных точек в режиме реального времени, собирая огромные объемы данных о процессах, сетевых подключениях, взаимодействии с файлами и поведении пользователей. Они предназначены для обнаружения и реагирования на инциденты кибербезопасности на уровне конечных точек, устраняя угрозы, которые могли обойти традиционные меры безопасности. Как и другие инструменты безопасности, злоумышленники стремятся отключить EDR, чтобы избежать обнаружения и выполнить свои вредоносные действия с меньшим риском быть обнаруженными.

В сентябре 2024 года сообщалось, что программа RansomHub использует инструмент под названием EDRKillShifter для отключения EDR и антивирусного ПО. EDRKillShifter работает как вредоносная программа-загрузчик и обеспечивает механизм доставки легитимного, но уязвимого драйвера. При выполнении EDRShiftKiller развертывает известные уязвимые драйверы RentDrv2 и ThreatFireMonitor и уничтожает средства EDR.