Методический документ методика оценки угроз безопасности информации

полученные привилегии и получить контроль над узлом пользователя
Т6.4. Эксплуатация уязвимостей механизма имперсонации
(запуска операций в системе от имени другой учетной записи).
Пример: эксплуатация уязвимости штатного механизма имперсонации, реализуемого операционной системой
Т6.5. Манипуляции с идентификатором сессии, токеном доступа или иным параметром, определяющим права и полномочия пользователя в системе таким образом, что новый или измененный идентификатор/токен/параметр дает возможность выполнения ранее недоступных пользователю операций.
Пример: кража и подделка cookie сессии для получения авторизованного доступа к вебинтерфейсу управления сетевого устройства
Т6.6. Обход политики ограничения пользовательских учетных записей в выполнении групп операций, требующих привилегированного режима.
Пример: обход UserAccountControl в операционной системе
Windows
Т6.7. Использование уязвимостей конфигурации системы,
служб и приложений, в том числе предварительно сконфигурированных профилей привилегированных пользователей, автоматически запускаемых от имени привилегированных пользователей скриптов,
Продолжение таблицы 11.1
N
Тактика
Основные техники приложений и экземпляров окружения, позволяющих вредоносному ПО выполняться с повышенными привилегиями.
Примеры: 1) использование профилей PowerShell для закрепления вредоносного ПО в системе и выполнения этого
ПО с повышенными привилегиями; 2) конфигурация команды перехода в привилегированный режим sudo, при которой успешный результат выполнения этой команды на некоторое время кэшируется, что при определенных обстоятельствах может быть использовано вредоносным кодом для выполнения привилегированных операций в течение этого времени; 3) параметры исполнения файлов
(ImageFileExecutionOptions, IFEO), позволяющие переключать исполнение файлов в режим отладки, выполняя вредоносные приложения под видом отладчиков и средств
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 73 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

мониторинга, что позволяет им отключать системные приложения и средства защиты
Т6.8. Эксплуатация уязвимостей, связанных с отдельным, и вероятно менее строгим контролем доступа к некоторым ресурсам (например, к файловой системе) для непривилегированных учетных записей.
Пример: подмена на диске бинарных файлов или скриптов,
предназначенных для исполнения в привилегированном контексте, приложением, исполняющимся в непривилегированном контексте
Т6.9. Эксплуатация уязвимостей средств ограничения среды исполнения (виртуальные машины, песочницы и т.п.) для исполнения кода вне этой среды.
Пример: эксплуатация уязвимости обработки буфера данных в рамках песочницы, реализуемой браузером для ограничения работы мобильного кода (Javascript), с последующим выполнением кода в контексте процесса браузера
Примечание 10: Повышение привилегий по доступу к компонентам систем и сетей может производиться с использованием одной или более из перечисленных выше техник, пока нарушитель не получит достаточно привилегий для реализации другой тактики в продолжении атаки
Т7 Сокрытие действий и применяемых при этом средств от обнаружения
Т7.1. Использование нарушителем или вредоносной платформой штатных инструментов администрирования,
утилит и сервисов операционной системы, сторонних утилит,
в том числе двойного назначения.
Тактическая задача:
нарушитель стремится затруднить применение
Пример: использование популярной утилиты PsExec для ОС
Windows как администраторами, так и нарушителями
Продолжение таблицы 11.1
N
Тактика
Основные техники мер защиты информации,
которые способны помешать его действиям или обнаружить их
Т7.2. Очистка/затирание истории команд и журналов регистрации, перенаправление записей в журналы регистрации, переполнение истории команд и журналов регистрации, затруднение доступа к журналам регистрации для авторизованных пользователей
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 74 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Т7.3. Удаление файлов, переписывание файлов произвольными данными, форматирование съемных носителей
Т7.4. Отключение средств защиты от угроз информационной безопасности, в том числе средств антивирусной защиты,
механизмов аудита, консолей оператора мониторинга и средств защиты других типов
Т7.5. Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной,
экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого
(контролируемого) объекта и (или) процесса
Т7.6. Подделка данных вывода средств защиты от угроз информационной безопасности
Т7.7. Подделка данных телеметрии, данных вывода автоматизированных систем управления, данных систем и средств мониторинга и защиты от угроз промышленной,
физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого (контролируемого) объекта и (или) процесса,
данных видеонаблюдения и других визуально или автоматически интерпретируемых данных
Т7.8. Выполнение атаки отказа в обслуживании на основные и резервные каналы связи, которые могут использоваться для доставки сообщений о неработоспособности систем или их компонентов или о других признаках атаки
Т7.9. Подписание кода, включая использование скомпрометированных сертификатов авторитетных производителей ПО для подписания вредоносных программных модулей.
Примечание 11: Сочетается с техникой компрометации сертификата, используемого для цифровой подписи образа
ПО
Т7.10. Внедрение вредоносного кода в доверенные процессы операционной системы и другие объекты, которые не подвергаются анализу на наличие такого кода, для предотвращения обнаружения
Т7.11. Модификация модулей и конфигурации вредоносного программного обеспечения для затруднения его обнаружения в системе.
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 75 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Продолжение таблицы 11.1
N
Тактика
Основные техники
Пример: внесение изменений в модули и конфигурацию вредоносного ПО для удаления индикаторов компрометации этим ВПО после обнаружения его в других системах
Т7.12. Манипуляции именами и параметрами запуска процессов и приложений для обеспечения скрытности.
Примеры: 1) сокрытие окна приложения через параметры запуска процесса в ОС Windows; 2) выбор для вредоносного приложения имени файла (процесса), похожего на имя известного и/или системного приложения или совпадающего с ним
Т7.13. Создание скрытых файлов, скрытых учетных записей
Т7.14. Установление ложных доверенных отношений, в том числе установка корневых сертификатов для успешной валидации вредоносных программных модулей и авторизации внешних сервисов
Т7.15. Внедрение вредоносного кода выборочным/целевым образом на наиболее важные системы или системы,
удовлетворяющие определенным критериям, во избежание преждевременной компрометации информации об используемых при атаке уязвимостях и обнаружения факта атаки
Т7.16. Искусственное временное ограничение распространения или активации вредоносного кода внутри сети, во избежание преждевременного обнаружения факта атаки.
Пример: распространение вредоносного ПО единовременно по всем интересующим злоумышленникам системам и единовременный запуск его на выполнение по команде,
вплоть до выполнения которой компрометацию системы обнаружить сложно
Т7.17. Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами программного кода вредоносного ПО, данных и команд управляющего трафика, в том числе при хранении этого кода и данных в атакуемой системе, при хранении на сетевом ресурсе или при передаче по сети
Т7.18. Использование средств виртуализации для сокрытия вредоносного кода или вредоносной активности от средств
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 76 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

обнаружения в операционной системе
Т7.19. Туннелирование трафика управления через VPN
Т7.20. Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
Продолжение таблицы 11.1
N
Тактика
Основные техники
Т7.21. Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствами
Т7.22. Подмена и компрометация прошивок, в том числе прошивок BIOS, жестких дисков
Т7.23. Подмена файлов легитимных программ и библиотек непосредственно в системе.
Примечание 12: В том числе может сочетаться с техникой компрометации сертификата, используемого для цифровой подписи образа ПО
Т7.24. Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения,
поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи.
Примечание 13: В том числе может сочетаться с техникой компрометации сертификата, используемого для цифровой подписи образа ПО
Т7.25. Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, информации о таких обновлениях,
включая атаки на инфраструктурные сервисы поставщика
(такие как DNS hijacking), атаки на третьесторонние ресурсы,
атаки на электронную почту и другие средства обмена сообщениями.
Примечание 14: в том числе может сочетаться с техникой компрометации сертификата, используемого для цифровой подписи образа ПО
Т7.26. Подмена дистрибутивов (установочных комплектов)
программ на носителях информации или общих сетевых
КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru_Страница_77_из_84Документ_предоставленКонсультантПлюс'>КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 77 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

ресурсах.
Примечание 15: в том числе может сочетаться с техникой компрометации сертификата, используемого для цифровой подписи образа ПО
Т7.27. Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н.
"дарквеб") и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования криптографических ключей, хранения и управления цифровыми сертификатами
Т7.28. Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления
Продолжение таблицы 11.1
N
Тактика
Основные техники разработкой) для последующего автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
Т7.29. Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров), в инфраструктуре целевой системы, для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
Примечание 16: Сокрытие действий и применяемых при этом средств от обнаружения может производиться с использованием одной или более из перечисленных выше техник для сокрытия разных свидетельств компрометации системы или для более эффективного сокрытия
Т8 Получение доступа
(распространение доступа) к другим компонентам систем и сетей или смежным
Т8.1. Эксплуатация уязвимостей для повышения привилегий в системе или сети для удаленного выполнения программного кода для распространения доступа
Т8.2. Использование средств и интерфейсов удаленного управления для получения доступа к смежным системам и сетям
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 78 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

системам и сетям
Тактическая задача: получив доступ к некоторым узлам инфраструктуры,
нарушитель стремится получить доступ к другим узлам.
Подобное распространение доступа может быть нецеленаправлен ным: так, еще не зная, к каким именно компонентам инфраструктуры требуется получить доступ для того, чтобы вызвать нужные ему негативные последствия,
нарушитель может стремиться получить контроль над как можно большей частью инфраструктуры систем и сетей
Т8.3. Использование механизмов дистанционной установки программного обеспечения и конфигурирования.
Пример: распространение вредоносного кода групповыми политиками ActiveDirectory, обычно используемыми для автоматического управления легитимным программным обеспечением
Т8.4. Удаленное копирование файлов, включая модули вредоносного программного обеспечения и легитимные программные средства, которые позволяют злоумышленнику получать доступ к смежным системам и сетям
Т8.5. Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствами
Т8.6. Копирование вредоносного кода на съемные носители
Т8.7. Размещение вредоносных программных модулей на разделяемых сетевых ресурсах в сети
Т8.8. Использование доверенных отношений скомпрометированной системы и пользователей этой системы с другими системами и пользователями для распространения вредоносного
Продолжение таблицы 11.1
N
Тактика
Основные техники программного обеспечения или для доступа к системам и информации в других системах и сетях.
Пример: отсылка сообщений корпоративной электронной почты от имени коллег и прочих доверенных лиц
Примечание 17: Получение доступа (распространение доступа) к другим компонентам систем и сетей или смежным системам и сетям может выполняться в несколько шагов с использованием одной или более из перечисленных выше техник, пока нарушитель не достигнет целевой системы или
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 79 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

не будет вынужден прибегнуть к другой тактике для продолжения атаки
Т9 Сбор и вывод из системы или сети информации,
необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз
Т9.1. Доступ к системе для сбора информации и вывод информации через стандартные протоколы управления
(например, RDP, SSH), а также использование инфраструктуры провайдеров средств удаленного администрирования.
Пример: использование средств удаленного управления
RMS/teamviewer для создания канала связи и управления скомпрометированной системой со стороны злоумышленников
Тактическая задача: в ходе реализации угроз безопасности информации,
нарушителю может потребоваться получить и вывести за пределы инфраструктуры большие объемы информации,
избежав при этом обнаружения или противодействия
Т9.2. Доступ к системе для сбора информации и вывод информации через использование штатных средств удаленного доступа и управления операционной системы
Т9.3. Вывод информации на хорошо известные порты на внешних серверах, разрешенные на межсетевом экране
(SMTP/25, HTTP/80, HTTPS/443 и др.)
Т9.4. Вывод информации на нестандартные порты на внешних серверах, что в некоторых случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств
Т9.5. Отправка данных по известным протоколам управления и передачи данных
Т9.6. Отправка данных по собственным протоколам
Т9.7. Проксирование трафика передачи данных для маскировки подозрительной сетевой активности, обхода правил на межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи,
обфускация и разделение трафика передачи данных во избежание обнаружения.
Примеры: 1) использование скомпрометированных систем в той же сети, для которых правилами МЭ разрешен доступ в
Интернет в качестве прокси серверов; 2) использование инфраструктуры сети TOR для проксирования запросов к серверам управления; 3) использование одного коммуникационного протокола для запроса, и другого - для ответа на запрос
Продолжение таблицы 11.1
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 80 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

N
Тактика
Основные техники
Т9.8. Туннелирование трафика передачи данных через VPN
Т9.9. Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
Т9.10. Вывод информации через съемные носители, в частности, передача данных между скомпрометированными изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах
Т9.11. Отправка данных через альтернативную среду передачи данных.
Пример: вывод конфиденциальной информации через субтитры видеоряда, демонстрируемого на веб-сайте
Т9.12. Шифрование выводимой информации, использование стеганографии для сокрытия факта вывода информации
Т9.13. Вывод информации через предоставление доступа к файловым хранилищам и базам данных в инфраструктуре скомпрометированной системы или сети, в том числе путем создания новых учетных записей или передачи данных для аутентификации и авторизации имеющихся учетных записей
Т9.14. Вывод информации путем размещения сообщений или файлов на публичных ресурсах, доступных для анонимного нарушителя (форумы, файлообменные сервисы, фотобанки,
облачные сервисы, социальные сети)
Примечание 18: Сбор и вывод из системы или сети информации, необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз может выполняться с использованием одной или более из перечисленных выше техник для реализации резервных каналов вывода информации
Т1 0
Несанкциониро ванный доступ и
(или) воздействие на информационные ресурсы или компоненты систем и сетей,
приводящие к
Т10.1. Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях, в программных модулях и прошивках
Т10.2. Несанкционированное воздействие на системное программное обеспечение, его конфигурацию и параметры доступа
Т10.3. Несанкционированное воздействие на программные модули прикладного программного обеспечения