|
|
Модель угроз. Утверждена приказом ау
№
|
Тактика
|
Основные техники
|
|
|
T5.13 Динамическое изменение адресов серверов управления, идентификаторов внешних сервисов, на которых
публикуются команды управления, и т.п. по известному алгоритму во избежание обнаружения
|
Т6
|
Повышение привилегий по
доступу к
компонентам систем и сетей
|
Т6.1 Получение данных для аутентификации и авторизации от имени привилегированной учетной записи путем поиска
этих данных в папках и файлах, поиска в памяти или перехвата в сетевом трафике. Данные для авторизации включают пароли, хэш-суммы паролей, токены, идентификаторы сессии, криптографические ключи, но не ограничиваются ими
|
Т6.2 Подбор пароля или другой информации для аутентификации от имени привилегированной учетной записи
|
Т6.3 Эксплуатация уязвимостей ПО к повышению привилегий
|
Т6.4 Эксплуатация уязвимостей механизма имперсонации (запуска операций в системе от имени другой учетной записи)
|
Т6.5 Манипуляции с идентификатором сессии, токеном доступа или иным параметром, определяющим права и
полномочия пользователя в системе таким образом, что новый или измененный идентификатор/токен/параметр дает возможность выполнения ранее недоступных пользователю операций
|
Т6.6 Обход политики ограничения пользовательских учетных записей в выполнении групп операций, требующих
привилегированного режима
|
Т6.7 Использование уязвимостей конфигурации системы, служб и приложений, в том числе предварительно сконфигурированных профилей привилегированных пользователей, автоматически запускаемых от имени привилегированных пользователей скриптов, приложений и экземпляров окружения, позволяющих вредоносному ПО
выполняться с повышенными привилегиями
|
Т6.8 Эксплуатация уязвимостей, связанных с отдельным, и вероятно менее строгим контролем доступа к некоторым
ресурсам (например, к файловой системе) для непривилегированных учетных записей
|
Т6.9 Эксплуатация уязвимостей средств ограничения среды исполнения (виртуальные машины, песочницы и т.п.) для
исполнения кода вне этой среды
|
Т7
|
Сокрытие действий и применяемых при этом средств от обнаружения
|
Т7.1 Использование нарушителем или вредоносной платформой штатных инструментов администрирования, утилит и
сервисов операционной системы, сторонних утилит, в том числе двойного назначения
|
Т7.2 Очистка/затирание истории команд и журналов регистрации, перенаправление записей в журналы регистрации,
переполнение истории команд и журналов регистрации, затруднение доступа к журналам регистрации для авторизованных пользователей
|
Т7.3 Удаление файлов, переписывание файлов произвольными данными, форматирование съемных носителей
|
Т7.4 Отключение средств защиты от угроз информационной безопасности, в том числе средств антивирусной защиты,
механизмов аудита, консолей оператора мониторинга и средств защиты других типов
|
№
|
Тактика
|
Основные техники
|
|
|
Т7.5 Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления
технологическими процессами и управляемого (контролируемого) объекта и (или) процесса
|
Т7.6 Подделка данных вывода средств защиты от угроз информационной безопасности
|
Т7.7 Подделка данных телеметрии, данных вывода автоматизированных систем управления, данных систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого (контролируемого) объекта и (или) процесса, данных видеонаблюдения и других визуально или автоматически
интерпретируемых данных
|
Т7.8 Выполнение атаки отказа в обслуживании на основные и резервные каналы связи, которые могут использоваться
для доставки сообщений о неработоспособности систем или их компонентов или о других признаках атаки
|
Т7.9 Подписание кода, включая использование скомпрометированных сертификатов авторитетных производителей ПО
для подписания вредоносных программных модулей
|
Т7.10 Внедрение вредоносного кода в доверенные процессы операционной системы и другие объекты, которые не
подвергаются анализу на наличие такого кода, для предотвращения обнаружения
|
Т7.11 Модификация модулей и конфигурации вредоносного программного обеспечения для затруднения его
обнаружения в системе
|
Т7.12 Манипуляции именами и параметрами запуска процессов и приложений для обеспечения скрытности
|
Т7.13 Создание скрытых файлов, скрытых учетных записей
|
Т7.14 Установление ложных доверенных отношений, в том числе установка корневых сертификатов для успешной
валидации вредоносных программных модулей и авторизации внешних сервисов
|
Т7.15 Внедрение вредоносного кода выборочным/целевым образом на наиболее важные системы или системы, удовлетворяющие определенным критериям, во избежание преждевременной компрометации информации об
используемых при атаке уязвимостях и обнаружения факта атаки
|
Т7.16 Искусственное временное ограничение распространения или активации вредоносного кода внутри сети, во
избежание преждевременного обнаружения факта атаки
|
Т7.17 Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами
программного кода вредоносного ПО, данных и команд управляющего трафика, в том числе при хранении этого кода и данных в атакуемой системе, при хранении на сетевом ресурсе или при передаче по сети
|
№
|
Тактика
|
Основные техники
|
|
|
Т7.18 Использование средств виртуализации для сокрытия вредоносного кода или вредоносной активности от средств
обнаружения в операционной системе
|
Т7.19 Туннелирование трафика управления через VPN
|
Т7.20 Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
|
Т7.21 Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-
соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствами
|
Т7.22 Подмена и компрометация прошивок, в том числе прошивок BIOS, жестких дисков
|
Т7.23 Подмена файлов легитимных программ и библиотек непосредственно в системе
|
Т7.24 Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения,
поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи
|
Т7.25 Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, информации о таких обновлениях, включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на
электронную почту и другие средства обмена сообщениями
|
Т7.26 Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых
ресурсах
|
Т7.27 Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования
криптографических ключей, хранения и управления цифровыми сертификатами
|
Т7.28 Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой) для последующего автоматизированного
внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
|
Т7.29 Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров), в инфраструктуре целевой
системы, для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
| |
|
|
Скачать 1.31 Mb.