met_doc_(модель угроз) 2021.02.05. Федеральная служба по техническому и экспортному контролю

76
Продолжение таблицы 11.1
№
Тактика
Основные техники
Примечание 9: Управление вредоносным программным обеспечением и (или) компонентами,
к которым ранее был получен доступ, может производиться нарушителем с использованием
одной или более из перечисленных выше техник для управления труднодоступными
компонентами или для реализации резервных каналов управления
Т6 Повышение привилегий по доступу к компонентам систем и сетей
Тактическая задача: получив первоначальный доступ к узлу с привилегиями, недостаточными для совершения нужных ему действий, нарушитель стремится повысить полученные привилегии и получить контроль над узлом
Т6.1. Получение данных для аутентификации и авторизации от имени привилегированной учетной записи путем поиска этих данных в папках и файлах, поиска в памяти или перехвата в сетевом трафике. Данные для авторизации включают пароли, хэш-суммы паролей, токены, идентификаторы сессии, криптографические ключи, но не ограничиваются ими
Т6.2. Подбор пароля или другой информации для аутентификации от имени привилегированной учетной записи
Т6.3 Эксплуатация уязвимостей ПО к повышению привилегий.
Пример: эксплуатация уязвимости драйвера службы печати, позволяющей выполнить код с привилегиями системной учетной записи, через доступ к этому драйверу из приложения, запущенного от имени непривилегированного пользователя
Т6.4. Эксплуатация уязвимостей механизма имперсонации (запуска операций в системе от имени другой учетной записи).
Пример: эксплуатация уязвимости штатного механизма имперсонации, реализуемого операционной системой
Т6.5. Манипуляции с идентификатором сессии, токеном доступа или иным параметром, определяющим права и полномочия пользователя в системе таким образом, что новый или измененный идентификатор/токен/параметр дает возможность выполнения ранее недоступных пользователю операций.
Пример: кража и подделка cookie сессии для получения авторизованного доступа к веб- интерфейсу управления сетевого устройства
Т6.6. Обход политики ограничения пользовательских учетных записей в выполнении групп операций, требующих привилегированного режима.
Пример: обход UserAccountControl в операционной системе Windows
Т6.7. Использование уязвимостей конфигурации системы, служб и приложений, в том числе предварительно сконфигурированных профилей привилегированных пользователей, автоматически запускаемых от имени привилегированных пользователей скриптов,

77
Продолжение таблицы 11.1
№
Тактика
Основные техники
приложений и экземпляров окружения, позволяющих вредоносному ПО выполняться с повышенными привилегиями.
Примеры: 1) использование профилей PowerShell для закрепления вредоносного ПО в системе и выполнения этого ПО с повышенными привилегиями; 2) конфигурация команды перехода в привилегированный режим sudo, при которой успешный результат выполнения этой команды на некоторое время кэшируется, что при определенных обстоятельствах может быть использовано вредоносным кодом для выполнения привилегированных операций в течение этого времени; 3) параметры исполнения файлов (ImageFileExecutionOptions, IFEO), позволяющие переключать исполнение файлов в режим отладки, выполняя вредоносные приложения под видом отладчиков и средств мониторинга, что позволяет им отключать системные приложения и средства защиты
Т6.8. Эксплуатация уязвимостей, связанных с отдельным, и вероятно менее строгим контролем доступа к некоторым ресурсам (например, к файловой системе) для непривилегированных учетных записей.
Пример: подмена на диске бинарных файлов или скриптов, предназначенных для исполнения в привилегированном контексте, приложением, исполняющимся в непривилегированном контексте
Т6.9. Эксплуатация уязвимостей средств ограничения среды исполнения (виртуальные машины, песочницы и т.п.) для исполнения кода вне этой среды.
Пример: эксплуатация уязвимости обработки буфера данных в рамках песочницы, реализуемой браузером для ограничения работы мобильного кода (Javascript), с последующим выполнением кода в контексте процесса браузера
Примечание 10: Повышение привилегий по доступу к компонентам систем и сетей может
производиться с использованием одной или более из перечисленных выше техник, пока
нарушитель не получит достаточно привилегий для реализации другой тактики в продолжении
атаки
Т7 Сокрытие действий и применяемых при этом средств от обнаружения
Тактическая задача: нарушитель стремится затруднить применение
Т7.1. Использование нарушителем или вредоносной платформой штатных инструментов администрирования, утилит и сервисов операционной системы, сторонних утилит, в том числе двойного назначения.
Пример: использование популярной утилиты PsExec для ОС Windows как администраторами, так и нарушителями

78
Продолжение таблицы 11.1
№
Тактика
Основные техники
мер защиты информации, которые способны помешать его действиям или обнаружить их
Т7.2. Очистка/затирание истории команд и журналов регистрации, перенаправление записей в журналы регистрации, переполнение истории команд и журналов регистрации, затруднение доступа к журналам регистрации для авторизованных пользователей
Т7.3. Удаление файлов, переписывание файлов произвольными данными, форматирование съемных носителей
Т7.4. Отключение средств защиты от угроз информационной безопасности, в том числе средств антивирусной защиты, механизмов аудита, консолей оператора мониторинга и средств защиты других типов
Т7.5. Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого (контролируемого) объекта и (или) процесса
Т7.6. Подделка данных вывода средств защиты от угроз информационной безопасности
Т7.7. Подделка данных телеметрии, данных вывода автоматизированных систем управления, данных систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого
(контролируемого) объекта и (или) процесса, данных видеонаблюдения и других визуально или автоматически интерпретируемых данных
Т7.8. Выполнение атаки отказа в обслуживании на основные и резервные каналы связи, которые могут использоваться для доставки сообщений о неработоспособности систем или их компонентов или о других признаках атаки
Т7.9. Подписание кода, включая использование скомпрометированных сертификатов авторитетных производителей ПО для подписания вредоносных программных модулей.
Примечание 11: Сочетается с техникой компрометации сертификата, используемого для
цифровой подписи образа ПО
Т7.10. Внедрение вредоносного кода в доверенные процессы операционной системы и другие объекты, которые не подвергаются анализу на наличие такого кода, для предотвращения обнаружения
Т7.11. Модификация модулей и конфигурации вредоносного программного обеспечения для затруднения его обнаружения в системе.

79
Продолжение таблицы 11.1
№
Тактика
Основные техники
Пример: внесение изменений в модули и конфигурацию вредоносного ПО для удаления индикаторов компрометации этим ВПО после обнаружения его в других системах
Т7.12. Манипуляции именами и параметрами запуска процессов и приложений для обеспечения скрытности.
Примеры: 1) сокрытие окна приложения через параметры запуска процесса в ОС Windows;
2) выбор для вредоносного приложения имени файла (процесса), похожего на имя известного и/или системного приложения или совпадающего с ним
Т7.13. Создание скрытых файлов, скрытых учетных записей
Т7.14. Установление ложных доверенных отношений, в том числе установка корневых сертификатов для успешной валидации вредоносных программных модулей и авторизации внешних сервисов
Т7.15. Внедрение вредоносного кода выборочным/целевым образом на наиболее важные системы или системы, удовлетворяющие определенным критериям, во избежание преждевременной компрометации информации об используемых при атаке уязвимостях и обнаружения факта атаки
Т7.16. Искусственное временное ограничение распространения или активации вредоносного кода внутри сети, во избежание преждевременного обнаружения факта атаки.
Пример: распространение вредоносного ПО единовременно по всем интересующим злоумышленникам системам и единовременный запуск его на выполнение по команде, вплоть до выполнения которой компрометацию системы обнаружить сложно
Т7.17. Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами программного кода вредоносного ПО, данных и команд управляющего трафика, в том числе при хранении этого кода и данных в атакуемой системе, при хранении на сетевом ресурсе или при передаче по сети
Т7.18. Использование средств виртуализации для сокрытия вредоносного кода или вредоносной активности от средств обнаружения в операционной системе
Т7.19. Туннелирование трафика управления через VPN
Т7.20. Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру, туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие

80
Продолжение таблицы 11.1
№
Тактика
Основные техники
Т7.21. Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствами
Т7.22. Подмена и компрометация прошивок, в том числе прошивок BIOS, жестких дисков
Т7.23. Подмена файлов легитимных программ и библиотек непосредственно в системе.
Примечание 12: В том числе может сочетаться с техникой компрометации сертификата,
используемого для цифровой подписи образа ПО
Т7.24. Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения, поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи.
Примечание 13: В том числе может сочетаться с техникой компрометации сертификата,
используемого для цифровой подписи образа ПО
Т7.25. Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, информации о таких обновлениях, включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную почту и другие средства обмена сообщениями.
Примечание 14: в том числе может сочетаться с техникой компрометации сертификата,
используемого для цифровой подписи образа ПО
Т7.26. Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых ресурсах.
Примечание 15: в том числе может сочетаться с техникой компрометации сертификата,
используемого для цифровой подписи образа ПО
Т7.27. Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования криптографических ключей, хранения и управления цифровыми сертификатами
Т7.28. Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления

81
Продолжение таблицы 11.1
№
Тактика
Основные техники
разработкой) для последующего автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
Т7.29. Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров), в инфраструктуре целевой системы, для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
Примечание 16: Сокрытие действий и применяемых при этом средств от обнаружения
может производиться с использованием одной или более из перечисленных выше техник для
сокрытия разных свидетельств компрометации системы или для более эффективного
сокрытия
Т8 Получение доступа (распространение доступа) к другим компонентам систем и сетей или смежным системам и сетям
Тактическая задача: получив доступ к некоторым узлам инфраструктуры, нарушитель стремится получить доступ к другим узлам. Подобное распространение доступа может быть нецеленаправленным: так, еще не зная, к каким именно компонентам инфраструктуры требуется получить доступ для того, чтобы вызвать нужные ему негативные последствия, нарушитель может стремиться получить контроль над как можно большей частью инфраструктуры систем и сетей
Т8.1. Эксплуатация уязвимостей для повышения привилегий в системе или сети для удаленного выполнения программного кода для распространения доступа
Т8.2. Использование средств и интерфейсов удаленного управления для получения доступа к смежным системам и сетям
Т8.3. Использование механизмов дистанционной установки программного обеспечения и конфигурирования.
Пример: распространение вредоносного кода групповыми политиками ActiveDirectory, обычно используемыми для автоматического управления легитимным программным обеспечением
Т8.4. Удаленное копирование файлов, включая модули вредоносного программного обеспечения и легитимные программные средства, которые позволяют злоумышленнику получать доступ к смежным системам и сетям
Т8.5. Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствами
Т8.6. Копирование вредоносного кода на съемные носители
Т8.7. Размещение вредоносных программных модулей на разделяемых сетевых ресурсах в сети
Т8.8. Использование доверенных отношений скомпрометированной системы и пользователей этой системы с другими системами и пользователями для распространения вредоносного

82
Продолжение таблицы 11.1
№
Тактика
Основные техники
программного обеспечения или для доступа к системам и информации в других системах и сетях.
Пример: отсылка сообщений корпоративной электронной почты от имени коллег и прочих доверенных лиц
Примечание 17: Получение доступа (распространение доступа) к другим компонентам
систем и сетей или смежным системам и сетям может выполняться в несколько шагов с
использованием одной или более из перечисленных выше техник, пока нарушитель не
достигнет целевой системы или не будет вынужден прибегнуть к другой тактике для
продолжения атаки
Т9 Сбор и вывод из системы или сети информации, необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз
Тактическая задача: в ходе реализации угроз безопасности информации, нарушителю может потребоваться получить и вывести за пределы инфраструктуры большие объемы информации, избежав при этом обнаружения или противодействия
Т9.1. Доступ к системе для сбора информации и вывод информации через стандартные протоколы управления (например, RDP, SSH), а также использование инфраструктуры провайдеров средств удаленного администрирования.
Пример: использование средств удаленного управления RMS / teamviewer для создания канала связи и управления скомпрометированной системой со стороны злоумышленников
Т9.2. Доступ к системе для сбора информации и вывод информации через использование штатных средств удаленного доступа и управления операционной системы
Т9.3. Вывод информации на хорошо известные порты на внешних серверах, разрешенные на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)
Т9.4. Вывод информации на нестандартные порты на внешних серверах, что в некоторых случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств
Т9.5. Отправка данных по известным протоколам управления и передачи данных
Т9.6. Отправка данных по собственным протоколам
Т9.7. Проксирование трафика передачи данных для маскировки подозрительной сетевой активности, обхода правил на межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика передачи данных во избежание обнаружения.
Примеры: 1) использование скомпрометированных систем в той же сети, для которых правилами
МЭ разрешен доступ в Интернет в качестве прокси серверов; 2) использование инфраструктуры сети TOR для проксирования запросов к серверам управления; 3) использование одного коммуникационного протокола для запроса, и другого – для ответа на запрос

83
Продолжение таблицы 11.1