T1036-003-win-重命名程序名称
来自ATT&CK的描述
攻击者可能会重命名合法的系统实用程序,以试图规避有关这些实用程序使用的安全机制。安全监视和控制机制可能适用于攻击者能够滥用的系统实用程序。可以通过在使用之前重命名实用程序来绕过这些安全机制(例如: rename rundll32.exe)。当合法实用程序被复制或移动到不同的目录并重命名以避免基于从非标准路径执行的系统实用程序的检测。
测试案例
Masquerading是为了逃避蓝队的查找,而进行的伪装.其中的一种方法是可执行文件放在一个通常受信任的目录中,或者给它一个合法的名字.或者文件名是一个和受信任文件相似的文件名.其中一个情况就是当common system utility被移动和修改名字,来避免被检测.这可以绕过基于文件名的检测,以及蓝队的眼睛。
还有一种是right-to-left覆盖(RTLO or RLO) ,它可以让文件名反过来,迷惑蓝队成员
红队还可以修改二进制文件的图标,产品描述等来迷惑蓝队成员
对于windows还有一种技术:对合法的工具集进行重命名,例如rundll32.exe,一个案例就是当合法的工具集移动到不同的目录中并且重命名来避免检查.其中一个滥用的受信任地址为C:\Windows\System32,有害的程序可以伪装成"explorer.exe"和"svchost.exe"来绕过检查.
对于linux系统,有一种技术就是在程序运行之后,修改它的名称和路径,防止检测,一个被滥用的地址就是/bin名称可以改为”rsyncd”和”dbus-inotifier”
检测日志
Windows安全日志/Sysmon日志
测试复现
测试1 MASQUERADING AS WINDOWS LSASS PROCESS
复制cmd.exe并重命名,把它伪装成了lsass.exe
cmd.exe /c copy %SystemRoot%\System32\cmd.exe %SystemRoot%\Temp\lsass.exe
cmd.exe /c %SystemRoot%\Temp\lsass.exe
清除
del /Q /F %SystemRoot%\Temp\lsass.exe
win10成功复现
测试2 MASQUERADING AS LINUX CROND PROCESS.
复制sh,重命名crond,然后运行它达到伪装的目的
cp /bin/sh /tmp/crond
/tmp/crond
成功复现
测试3 MASQUERADING - CSCRIPT.EXE RUNNING AS NOTEPAD.EXE
把cscript.exe伪装成notepad.exe
copy %SystemRoot%\System32\cscript.exe %APPDATA%\notepad.exe /Y
cmd.exe /c %APPDATA%\notepad.exe /B
清除
del /Q /F %APPDATA%\notepad.exe
win10成功复现
测试4 MASQUERADING - WSCRIPT.EXE RUNNING AS SVCHOST.EXE
copy %SystemRoot%\System32\wscript.exe %APPDATA%\svchost.exe /Y
cmd.exe /c %APPDATA%\svchost.exe /B
win10成功复现
测试5 MASQUERADING - POWERSHELL.EXE RUNNING AS TASKHOSTW.EXE
copy %windir%\System32\windowspowershell\v1.0\powershell.exe %APPDATA%\taskhostw.exe /Y
cmd.exe /K %APPDATA%\taskhostw.exe
win10成功复现
测试6 MASQUERADING - NON-WINDOWS EXE RUNNING AS WINDOWS EXE
copy #{inputfile} #{outputfile}
$myT1036 = (Start-Process -PassThru -FilePath #{outputfile}).Id
Stop-Process -ID $myT1036
win10成功复现
测试7 MASQUERADING - WINDOWS EXE RUNNING AS DIFFERENT WINDOWS EXE
copy #{inputfile} #{outputfile}
$myT1036 = (Start-Process -PassThru -FilePath #{outputfile}).Id
Stop-Process -ID $myT1036
win10成功复现
测试8 MALICIOUS PROCESS MASQUERADING AS LSM.EXE
copy C:\Windows\System32\cmd.exe D:\lsm.exe
D:\lsm.exe /c echo T1036 > D:\T1036.txt
win10成功复现
日志留痕
可参考Windows 安全日志4688事件说明、Windows Sysmon安全日志1事件说明。
检测规则/思路
sigma规则
无有效检测规则。
建议
如果文件名与磁盘上的文件名和二进制文件的PE元数据不匹配,这很可能表明二进制文件在被编译后被重新命名。通过查看InternalName、OriginalFilename或ProductName是否与预期(收集到的历史数据)相符,可以提供有用的线索,但不一定能说明存在恶意活动。不要关注一个文件可能使用的名字,而是关注已知使用的、与众不同的命令行参数,因为它的检测率会更高。
相关TIP
[[T1036-004-win-伪装服务或任务]] [[T1036-win-隐藏用户账户带$符号]]
参考推荐
MITRE-ATT&CK-T1036-003
https://attack.mitre.org/techniques/T1036/003
跟着ATT&CK学安全之defense-evasion