T1564-001-win-发现攻击者在回收站中隐藏恶意软件
来自ATT&CK的描述
攻击者可能会将文件和目录设置为隐藏,以逃避检测机制。为了防止普通用户意外更改系统上的特殊文件,大多数操作系统都具有“隐藏”文件的功能。当用户使用GUI浏览文件系统或在命令行上使用常规命令时,这些文件不会显示。用户必须通过一系列图形用户界面(GUI)提示或使用命令行开关(对于Windows为dir /a,对于Linux和macOS为ls –a)明确要求显示隐藏文件。
在Linux和Mac上,用户只需将“.”标记为隐藏,即可将其标记为隐藏。作为文件或文件夹名称中的第一个字符。默认情况下,以“.”开头的文件和文件夹在Finder应用程序和标准命令行实用程序(如“ ls”)中不会隐藏。用户必须专门更改设置才能查看这些文件。
macOS上的文件也可以用UF_HIDDEN标志标记,这可以防止在Finder.app中看到它们,但仍然允许在Terminal.app 中看到它们。在Windows上,用户可以使用attrib.exe二进制文件将特定文件标记为隐藏。许多应用程序都会创建这些隐藏的文件和文件夹来存储信息,以免使用户的工作空间变得混乱。例如,SSH实用程序会创建一个.ssh文件夹,该文件夹处于隐藏状态,其中包含用户的已知主机和密钥。
攻击者可以利用此优势来隐藏系统上任何位置的文件和文件夹,并逃避不包含对隐藏文件的调查的典型用户或系统分析。
测试案例
攻击者调用隐藏在回收站中的恶意程序。$recycle.bin文件夹是系统重要的隐藏文件,一般存在于磁盘根目录下。是系统“回收站”在每一个磁盘上的链接文件夹,用于保存磁盘上删除的文件或者文件夹信息,我们恢复误删除到回收站中的文件或者文件夹时大有用处。一般我们设置显示磁盘的隐藏文件后,才能看到它。
Win Vista以前Windows系统,该文件夹名称为:Recycle ;Win Vista(Win7/8)以后系统一般名称为$RECYCLE.BIN 。
检测日志
windows安全日志
测试复现
C:\Windows\system32>C:\$Recycle.bin\$R54R99P.exe
nbtscan 1.0.35 - 2008-04-08 - http://www.unixwiz.net/tools/
usage: C:\$Recycle.bin\$R54R99P.exe [options] target [targets...]
Targets are lists of IP addresses, DNS names, or address
ranges. Ranges can be in /nbits notation ("192.168.12.0/24")
or with a range in the last octet ("192.168.12.64-97")
-V show Version information
-f show Full NBT resource record responses (recommended)
-H generate HTTP headers
-v turn on more Verbose debugging
-n No looking up inverse names of IP addresses responding
-p <n> bind to UDP Port <n> (default=0)
-m include MAC address in response (implied by '-f')
-T <n> Timeout the no-responses in <n> seconds (default=2 secs)
-w <n> Wait <n> msecs after each write (default=10 ms)
-t <n> Try each address <n> tries (default=1)
-1 Use Winsock 1 only
-P generate results in perl hashref format
测试留痕
windows 安全日志
windows server 2016 安全日志,事件ID:4688
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2021/4/6 17:39:04
事件 ID: 4688
任务类别: 进程创建
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: 12306BR0B4DD.361a.com
描述:
已创建新进程。
创建者主题:
安全 ID: 361A\12306br0
帐户名: 12306br0
帐户域: 361A
登录 ID: 0x507C3
目标主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
进程信息:
新进程 ID: 0x1224
新进程名称: C:\$Recycle.Bin\$R54R99P.exe
令牌提升类型: %%1937
强制性标签: Mandatory Label\High Mandatory Level
创建者进程 ID: 0x15d8
创建者进程名称: C:\Windows\System32\cmd.exe
进程命令行: C:\$Recycle.bin\$R54R99P.exe
检测规则/思路
title: 发现攻击者在回收站中隐藏恶意软件
description: 检测攻击者执行隐藏在回收站中的恶意程序
status: experimental
references:
- https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Execution/Malware_In_recyclebin.txt
logsource:
product: windows
service: security
detection:
selection:
EventID: 4688 #Windows 安全日志,进程创建
ParentProcessName:
- 'cmd.exe'
- 'ftp.exe'
- 'schtasks.exe'
- 'powershell.exe'
- 'rundll32.exe'
- 'regsvr32.exe'
- 'msiexec.exe'
Commanline: '*Recycle*'
condition: selection
level: high
建议
基于windows安全日志(高版本操作系统)或者Sysmon日志可进行有效检测。
参考推荐
MITRE-ATT&CK-T1564-001
https://attack.mitre.org/techniques/T1564/001/
windows10系统$recycle.bin的详细删除方法介绍