|
|
Модель угроз. Утверждена приказом ау
№
|
Тактика
|
Основные техники
|
|
|
Т2.15 Доступ путем использования недостатков правовых норм других стран, участвующих в трансграничной передаче
облачного трафика
|
Т2.16 Доступ путем использования возможности допуска ошибок в управлении инфраструктурой системы потребителя
облачных услуг, иммигрированной в облако
|
Т3
|
Внедрение и исполнение вредоносного программного обеспечения в системах и сетях
|
Т3.1 Автоматический запуск скриптов и исполняемых файлов в системе с использованием пользовательских или
системных учетных данных, в том числе с использованием методов социальной инженерии
|
Т3.2 Активация и выполнение вредоносного кода, внедренного в виде закладок в легитимное программное и
программное-аппаратное обеспечение систем и сетей
|
Т3.3 Автоматическая загрузка вредоносного кода с удаленного сайта или ресурса с последующим запуском на
выполнение
|
Т3.4 Копирование и запуск скриптов и исполняемых файлов через средства удаленного управления операционной
системой и сервисами
|
Т3.5 Эксплуатация уязвимостей типа удаленное исполнение программного кода (RCE, Remotecodeexecution)
|
Т3.6 Автоматическое создание вредоносных скриптов при помощи доступного инструментария от имени пользователя
в системе с использованием его учетных данных
|
Т3.7 Подмена файлов легитимных программ и библиотек непосредственно в системе
|
Т3.8 Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения,
поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи
|
Т3.9 Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, подмена информации о таких обновлениях,
включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную почту и другие средства обмена сообщениями
|
Т3.10 Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых
ресурсах
|
Т3.11 Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования
криптографических ключей, хранения и управления цифровыми сертификатами
|
№
|
Тактика
|
Основные техники
|
|
|
Т3.12 Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой) для последующего автоматизированного
внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
|
Т3.13 Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров) в инфраструктуре целевой системы для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на
целевые для нарушителя системы
|
Т3.14 Планирование запуска вредоносных программ при старте операционной системы путем эксплуатации стандартных механизмов, в том числе путем правки ключей реестра, отвечающих за автоматический запуск программ,
запуска вредоносных программ как сервисов и т.п.
|
Т3.15 Планирование запуска вредоносных программ через планировщиков задач в операционной системе, а также с использованием механизмов планирования выполнения в удаленной системе через удаленный вызов процедур. Выполнение в контексте планировщика в ряде случаев позволяет авторизовать вредоносное программное обеспечение
и повысить доступные ему привилегии
|
Т3.16 Запуск вредоносных программ при помощи легитимных, подписанных цифровой подписью утилит установки приложений и средств запуска скриптов (т.н. техника проксирования запуска), а также через средства запуска кода
элементов управления ActiveX, компонентов фильтров (кодеков) и компонентов библиотек DLL
|
T3.17 Планирование запуска вредоносного кода при запуске компьютера путем эксплуатации стандартных механизмов
BIOS (UEFI) и т.п.
|
T3.18 Эксплуатация уязвимостей типа локальное исполнение программного кода
|
Т4
|
Закрепление (сохранение доступа) в системе или сети
|
Т4.1 Несанкционированное создание учетных записей или кража существующих учетных данных
|
Т4.2 Использование штатных средств удаленного доступа и управления операционной системы
|
Т4.3 Скрытая установка и запуск средств удаленного доступа и управления операционной системы. Внесение изменений в конфигурацию и состав программных и программно-аппаратных средств атакуемой системы или сети, вследствие чего
становится возможен многократный запуск вредоносного кода
|
Т4.4 Маскирование подключенных устройств под легитимные (например, нанесение корпоративного логотипа,
инвентарного номера, телефона службы поддержки)
|
Т4.5 Внесение соответствующих записей в реестр, автозагрузку, планировщики заданий, обеспечивающих запуск
вредоносного программного обеспечения при перезагрузке системы или сети
|
№
|
Тактика
|
Основные техники
|
|
|
Т4.6 Компрометация прошивок устройств с использованием уязвимостей или программно-аппаратных закладок, к
примеру, внедрение новых функций в BIOS (UEFI), компрометация прошивок жестких дисков
|
Т4.7 Резервное копирование вредоносного кода в областях, редко подвергаемых проверке, в том числе заражение
резервных копий данных, сохранение образов в неразмеченных областях жестких дисков и сменных носителей
|
T4.8 Использование прошивок устройств с уязвимостями, к примеру, внедрение новых функций в BIOS (UEFI)
|
Т5
|
Управление вредоносным программным обеспечением и (или) компонентами, к которым ранее был получен доступ
|
Т5.1 Удаленное управление через стандартные протоколы (например, RDP, SSH), а также использование
инфраструктуры провайдеров средств удаленного администрирования
|
Т5.2 Использование штатных средств удаленного доступа и управления операционной системы
|
Т5.3 Коммуникация с внешними серверами управления через хорошо известные порты на этих серверах, разрешенные
на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)
|
Т5.4 Коммуникация с внешними серверами управления через нестандартные порты на этих серверах, что в некоторых
случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств
|
Т5.5 Управление через съемные носители, в частности, передача команд управления между скомпрометированными
изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах
|
Т5.6 Проксирование трафика управления для маскировки подозрительной сетевой активности, обхода правил на
межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика управления во избежание обнаружения
|
Т5.7 Туннелирование трафика управления через VPN
|
Т5.8 Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
|
Т5.9 Управление через подключенные устройства, реализующие дополнительный канал связи с внешними системами
или между скомпрометированными системами в сети
|
Т5.10 Использование средств обфускации, шифрования, стеганографии для сокрытия трафика управления
|
Т5.11 Передача команд управления через нестандартно интерпретируемые типовые операции, к примеру, путем
выполнения копирования файла по разрешенному протоколу (FTP или подобному), путем управления разделяемыми сетевыми ресурсами по протоколу SMB и т.п.
|
Т5.12 Передача команд управления через публикацию на внешнем легитимном сервисе, таком как веб-сайт, облачный
ресурс, ресурс в социальной сети и т.п.
| |
|
|
Скачать 1.31 Mb.