跳转至

T1564-001-win-发现攻击者在回收站中隐藏恶意软件

来自ATT&CK的描述

攻击者可能会将文件和目录设置为隐藏,以逃避检测机制。为了防止普通用户意外更改系统上的特殊文件,大多数操作系统都具有“隐藏”文件的功能。当用户使用GUI浏览文件系统或在命令行上使用常规命令时,这些文件不会显示。用户必须通过一系列图形用户界面(GUI)提示或使用命令行开关(对于Windows为dir /a,对于Linux和macOS为ls –a)明确要求显示隐藏文件。

在Linux和Mac上,用户只需将“.”标记为隐藏,即可将其标记为隐藏。作为文件或文件夹名称中的第一个字符。默认情况下,以“.”开头的文件和文件夹在Finder应用程序和标准命令行实用程序(如“ ls”)中不会隐藏。用户必须专门更改设置才能查看这些文件。

macOS上的文件也可以用UF_HIDDEN标志标记,这可以防止在Finder.app中看到它们,但仍然允许在Terminal.app 中看到它们。在Windows上,用户可以使用attrib.exe二进制文件将特定文件标记为隐藏。许多应用程序都会创建这些隐藏的文件和文件夹来存储信息,以免使用户的工作空间变得混乱。例如,SSH实用程序会创建一个.ssh文件夹,该文件夹处于隐藏状态,其中包含用户的已知主机和密钥。

攻击者可以利用此优势来隐藏系统上任何位置的文件和文件夹,并逃避不包含对隐藏文件的调查的典型用户或系统分析。

测试案例

攻击者调用隐藏在回收站中的恶意程序。$recycle.bin文件夹是系统重要的隐藏文件,一般存在于磁盘根目录下。是系统“回收站”在每一个磁盘上的链接文件夹,用于保存磁盘上删除的文件或者文件夹信息,我们恢复误删除到回收站中的文件或者文件夹时大有用处。一般我们设置显示磁盘的隐藏文件后,才能看到它。

Win Vista以前Windows系统,该文件夹名称为:Recycle ;Win Vista(Win7/8)以后系统一般名称为$RECYCLE.BIN 。

检测日志

windows安全日志

测试复现

C:\Windows\system32>C:\$Recycle.bin\$R54R99P.exe
nbtscan 1.0.35 - 2008-04-08 - http://www.unixwiz.net/tools/

usage: C:\$Recycle.bin\$R54R99P.exe [options] target [targets...]

   Targets are lists of IP addresses, DNS names, or address
   ranges. Ranges can be in /nbits notation ("192.168.12.0/24")
   or with a range in the last octet ("192.168.12.64-97")

   -V        show Version information
   -f        show Full NBT resource record responses (recommended)
   -H        generate HTTP headers
   -v        turn on more Verbose debugging
   -n        No looking up inverse names of IP addresses responding
   -p <n>    bind to UDP Port <n> (default=0)
   -m        include MAC address in response (implied by '-f')
   -T <n>    Timeout the no-responses in <n> seconds (default=2 secs)
   -w <n>    Wait <n> msecs after each write (default=10 ms)
   -t <n>    Try each address <n> tries (default=1)
   -1        Use Winsock 1 only
   -P        generate results in perl hashref format

测试留痕

windows 安全日志

windows server 2016 安全日志,事件ID:4688
日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2021/4/6 17:39:04
事件 ID:         4688
任务类别:          进程创建
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           12306BR0B4DD.361a.com
描述:
已创建新进程。

创建者主题:
 安全 ID:  361A\12306br0
 帐户名:  12306br0
 帐户域:  361A
 登录 ID:  0x507C3

目标主题:
 安全 ID:  NULL SID
 帐户名:  -
 帐户域:  -
 登录 ID:  0x0

进程信息:
 新进程 ID:  0x1224
 新进程名称: C:\$Recycle.Bin\$R54R99P.exe
 令牌提升类型: %%1937
 强制性标签:  Mandatory Label\High Mandatory Level
 创建者进程 ID: 0x15d8
 创建者进程名称: C:\Windows\System32\cmd.exe
 进程命令行: C:\$Recycle.bin\$R54R99P.exe

检测规则/思路

title: 发现攻击者在回收站中隐藏恶意软件
description: 检测攻击者执行隐藏在回收站中的恶意程序
status: experimental
references:
    - https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Execution/Malware_In_recyclebin.txt
logsource:
​    product: windows
​    service: security
detection:
​    selection:
​        EventID: 4688 #Windows 安全日志,进程创建
         ParentProcessName: 
                - 'cmd.exe'
                - 'ftp.exe'
                - 'schtasks.exe'
                - 'powershell.exe'
                - 'rundll32.exe'
                - 'regsvr32.exe'
                - 'msiexec.exe'
      Commanline: '*Recycle*'
​    condition: selection
level: high

建议

基于windows安全日志(高版本操作系统)或者Sysmon日志可进行有效检测。

参考推荐

MITRE-ATT&CK-T1564-001

https://attack.mitre.org/techniques/T1564/001/

windows10系统$recycle.bin的详细删除方法介绍

https://www.pconline.com.cn/win10/1102/11023668.html