Event Triggered Execution

Adversaries may establish persistence and/or elevate privileges using system mechanisms that trigger execution based on specific events. Various operating systems have means to monitor and subscribe to events such as logons or other user activity such as running specific applications/binaries.

Adversaries may abuse these mechanisms as a means of maintaining persistent access to a victim via repeatedly executing malicious code. After gaining access to a victim system, adversaries may create/modify event triggers to point to malicious content that will be executed whenever the event trigger is invoked.[1][2][3]

Since the execution can be proxied by an account with higher permissions, such as SYSTEM or service accounts, an adversary may be able to abuse these triggered execution mechanisms to escalate their privileges.

Angreifer können mit Hilfe von Systemmechanismen, die eine Ausführung auf der Grundlage bestimmter Ereignisse auslösen, eine Persistenz herstellen und/oder die Privilegien erhöhen. Verschiedene Betriebssysteme verfügen über Mittel, um Ereignisse wie Anmeldungen oder andere Benutzeraktivitäten wie die Ausführung bestimmter Anwendungen/Binärdateien zu überwachen und zu abonnieren.

Angreifer können diese Mechanismen missbrauchen, um durch wiederholtes Ausführen von bösartigem Code dauerhaften Zugriff auf ein Opfer zu erhalten. Nachdem sie sich Zugang zu einem Opfersystem verschafft haben, können Angreifer Ereignisauslöser erstellen/verändern, um auf bösartige Inhalte zu verweisen, die immer dann ausgeführt werden, wenn der Ereignisauslöser aufgerufen wird.(Zitat: FireEye WMI 2015)(Zitat: Malware Persistence on OS X)(Zitat: amnesia malware)

Da die Ausführung durch ein Konto mit höheren Berechtigungen, wie SYSTEM- oder Dienstkonten, veranlasst werden kann, ist ein Angreifer möglicherweise in der Lage, diese ausgelösten Ausführungsmechanismen zu missbrauchen, um seine Privilegien zu erweitern.

Les adversaires peuvent établir la persistance et/ou élever les privilèges en utilisant des mécanismes système qui déclenchent l'exécution en fonction d'événements spécifiques. Divers systèmes d'exploitation disposent de moyens pour surveiller et s'abonner à des événements tels que les ouvertures de session ou d'autres activités de l'utilisateur, comme l'exécution d'applications/binaires spécifiques.

Les adversaires peuvent abuser de ces mécanismes pour maintenir un accès persistant à une victime en exécutant un code malveillant de manière répétée. Après avoir obtenu l'accès à un système victime, les adversaires peuvent créer/modifier les déclencheurs d'événements pour pointer vers un contenu malveillant qui sera exécuté chaque fois que le déclencheur d'événements sera invoqué.(Citation : FireEye WMI 2015)(Citation : Persistance des logiciels malveillants sur OS X)(Citation : logiciel malveillant amnésique)

Puisque l'exécution peut être mandatée par un compte disposant de permissions plus élevées, comme les comptes SYSTEM ou de service, un adversaire peut être en mesure d'abuser de ces mécanismes d'exécution déclenchée pour escalader ses privilèges.

Gli avversari possono stabilire la persistenza e/o elevare i privilegi usando meccanismi di sistema che innescano l'esecuzione in base ad eventi specifici. Vari sistemi operativi hanno mezzi per monitorare e sottoscrivere eventi come i logon o altre attività dell'utente come l'esecuzione di applicazioni/binari specifici.

Gli avversari possono abusare di questi meccanismi come mezzo per mantenere un accesso persistente ad una vittima attraverso l'esecuzione ripetuta di codice maligno. Dopo aver ottenuto l'accesso ad un sistema vittima, gli avversari possono creare/modificare trigger di eventi per puntare a contenuti maligni che verranno eseguiti ogni volta che il trigger di eventi viene invocato.(Citazione: FireEye WMI 2015)(Citazione: persistenza del malware su OS X)(Citazione: malware amnesia)

Poiché l'esecuzione può essere delegata da un account con permessi più alti, come SYSTEM o account di servizio, un avversario può essere in grado di abusare di questi meccanismi di esecuzione innescata per aumentare i propri privilegi.

Login
ID: T1546
Platforms: Linux, Windows, macOS
Version: 1.1
Created: 22 January 2020
Last Modified: 16 October 2021
Translations:  DE FR IT EN
Provided by LAYER 8

Mitigations

This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.

Detection

ID Data Source Data Component
DS0017 Command Command Execution
DS0022 File File Creation
File Metadata
File Modification
DS0011 Module Module Load
DS0009 Process Process Creation
DS0024 Windows Registry Windows Registry Key Modification
DS0005 WMI WMI Creation

Monitoring for additions or modifications of mechanisms that could be used to trigger event-based execution, especially the addition of abnormal commands such as execution of unknown programs, opening network sockets, or reaching out across the network. Also look for changes that do not line up with updates, patches, or other planned administrative activity.

These mechanisms may vary by OS, but are typically stored in central repositories that store configuration information such as the Windows Registry, Common Information Model (CIM), and/or specific named files, the last of which can be hashed and compared to known good values.

Monitor for processes, API/System calls, and other common ways of manipulating these event repositories.

Tools such as Sysinternals Autoruns can be used to detect changes to execution triggers that could be attempts at persistence. Also look for abnormal process call trees for execution of other commands that could relate to Discovery actions or other techniques.

Monitor DLL loads by processes, specifically looking for DLLs that are not recognized or not normally loaded into a process. Look for abnormal process behavior that may be due to a process loading a malicious DLL. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities, such as making network connections for Command and Control, learning details about the environment through Discovery, and conducting Lateral Movement.

Überwachung auf Hinzufügungen oder Änderungen von Mechanismen, die zum Auslösen einer ereignisbasierten Ausführung verwendet werden könnten, insbesondere die Hinzufügung abnormaler Befehle wie das Ausführen unbekannter Programme, das Öffnen von Netzwerk-Sockets oder das Erreichen von Netzwerken. Achten Sie auch auf Änderungen, die nicht mit Updates, Patches oder anderen geplanten administrativen Aktivitäten übereinstimmen.

Diese Mechanismen können je nach Betriebssystem variieren, sind aber in der Regel in zentralen Repositories gespeichert, die Konfigurationsinformationen wie die Windows-Registrierung, das Common Information Model (CIM) und/oder bestimmte benannte Dateien speichern, von denen letztere mit einem Hashwert versehen und mit bekannten guten Werten verglichen werden können.

Überwachen Sie Prozesse, API-/Systemaufrufe und andere gängige Methoden zur Manipulation dieser Ereignis-Repositories.

Tools wie Sysinternals Autoruns können verwendet werden, um Änderungen an Ausführungsauslösern zu erkennen, bei denen es sich um Versuche der Persistenz handeln könnte. Achten Sie auch auf abnormale Prozessaufrufe zur Ausführung anderer Befehle, die mit Discovery-Aktionen oder anderen Techniken zusammenhängen könnten.

Überwachen Sie das Laden von DLLs durch Prozesse und suchen Sie insbesondere nach DLLs, die nicht erkannt oder normalerweise nicht in einen Prozess geladen werden. Suchen Sie nach abnormalem Prozessverhalten, das darauf zurückzuführen sein könnte, dass ein Prozess eine bösartige DLL geladen hat. Daten und Ereignisse sollten nicht isoliert betrachtet werden, sondern als Teil einer Verhaltenskette, die zu anderen Aktivitäten führen kann, z. B. zum Herstellen von Netzwerkverbindungen für Command and Control, zum Erfahren von Details über die Umgebung durch Discovery und zur Durchführung von Lateral Movement.

Surveillez les ajouts ou les modifications des mécanismes qui pourraient être utilisés pour déclencher une exécution basée sur des événements, en particulier l'ajout de commandes anormales telles que l'exécution de programmes inconnus, l'ouverture de sockets réseau ou l'atteinte du réseau. Recherchez également les modifications qui ne correspondent pas aux mises à jour, aux correctifs ou à toute autre activité administrative planifiée.

Ces mécanismes peuvent varier selon le système d'exploitation, mais ils sont généralement stockés dans des référentiels centraux qui conservent les informations de configuration telles que le registre Windows, le modèle d'information commun (CIM) et/ou des fichiers nommés spécifiques, ces derniers pouvant être hachés et comparés à de bonnes valeurs connues.

Surveillez les processus, les appels API/Système et les autres moyens courants de manipuler ces référentiels d'événements.

Des outils tels que Sysinternals Autoruns peuvent être utilisés pour détecter les modifications des déclencheurs d'exécution qui pourraient être des tentatives de persistance. Recherchez également les arbres d'appels de processus anormaux pour l'exécution d'autres commandes qui pourraient être liées à des actions Discovery ou à d'autres techniques.

Surveillez les chargements de DLL par les processus, en recherchant spécifiquement les DLL qui ne sont pas reconnues ou qui ne sont pas normalement chargées dans un processus. Recherchez un comportement anormal du processus qui pourrait être dû au chargement d'une DLL malveillante par un processus. Les données et les événements ne doivent pas être considérés isolément, mais comme faisant partie d'une chaîne de comportement qui pourrait conduire à d'autres activités, telles que l'établissement de connexions réseau pour le commandement et le contrôle, l'apprentissage de détails sur l'environnement par le biais de la découverte et la conduite de mouvements latéraux.

Monitoraggio di aggiunte o modifiche di meccanismi che potrebbero essere usati per innescare l'esecuzione basata su eventi, specialmente l'aggiunta di comandi anormali come l'esecuzione di programmi sconosciuti, l'apertura di socket di rete o il raggiungimento della rete. Cercare anche cambiamenti che non si allineano con aggiornamenti, patch o altre attività amministrative pianificate.

Questi meccanismi possono variare a seconda del sistema operativo, ma di solito sono immagazzinati in depositi centrali che conservano informazioni di configurazione come il registro di Windows, Common Information Model (CIM), e/o file con nome specifico, l'ultimo dei quali può essere sottoposto ad hash e confrontato con valori buoni conosciuti.

Controlli i processi, le chiamate API/System e altri modi comuni di manipolare questi archivi di eventi.

Si possono usare strumenti come Sysinternals Autoruns per rilevare cambiamenti ai trigger di esecuzione che potrebbero essere tentativi di persistenza. Cerchi anche alberi di chiamate di processo anormali per l'esecuzione di altri comandi che potrebbero riguardare azioni di Discovery o altre tecniche.

Monitorare i carichi di DLL da parte dei processi, cercando specificamente DLL non riconosciute o non caricate normalmente in un processo. Cercare un comportamento anormale del processo che potrebbe essere dovuto a un processo che carica una DLL dannosa. I dati e gli eventi non vanno visti in modo isolato, ma come parte di una catena di comportamento che potrebbe portare ad altre attività, come fare connessioni di rete per Comando e Controllo, apprendere dettagli sull'ambiente attraverso Discovery e condurre Movimento Laterale.

References