|
Модель угроз. Утверждена приказом ау
№
| Тактика
| Основные техники
|
|
| Т2.16 Доступ путем использования возможности допуска ошибок в управлении инфраструктурой системы потребителя
облачных услуг, иммигрированной в облако
| Т3
| Внедрение и исполнение вредоносного программного обеспечения в системах и сетях
| Т3.1 Автоматический запуск скриптов и исполняемых файлов в системе с использованием пользовательских или
системных учетных данных, в том числе с использованием методов социальной инженерии
| Т3.2 Активация и выполнение вредоносного кода, внедренного в виде закладок в легитимное программное и
программное-аппаратное обеспечение систем и сетей
| Т3.3 Автоматическая загрузка вредоносного кода с удаленного сайта или ресурса с последующим запуском на
выполнение
| Т3.4 Копирование и запуск скриптов и исполняемых файлов через средства удаленного управления операционной
системой и сервисами
| Т3.5 Эксплуатация уязвимостей типа удаленное исполнение программного кода (RCE, Remotecodeexecution)
| Т3.6 Автоматическое создание вредоносных скриптов при помощи доступного инструментария от имени пользователя
в системе с использованием его учетных данных
| Т3.7 Подмена файлов легитимных программ и библиотек непосредственно в системе
| Т3.8 Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения,
поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи
| Т3.9 Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, подмена информации о таких обновлениях, включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы,
атаки на электронную почту и другие средства обмена сообщениями
| Т3.10 Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых
ресурсах
| Т3.11 Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования
криптографических ключей, хранения и управления цифровыми сертификатами
| Т3.12 Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих
приложений (компиляторов, линковщиков, средств управления разработкой) для последующего автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
|
№
| Тактика
| Основные техники
|
|
| Т3.13 Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров) в инфраструктуре целевой системы для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на
целевые для нарушителя системы
| Т3.14 Планирование запуска вредоносных программ при старте операционной системы путем эксплуатации стандартных механизмов, в том числе путем правки ключей реестра, отвечающих за автоматический запуск программ,
запуска вредоносных программ как сервисов и т.п.
| Т3.15 Планирование запуска вредоносных программ через планировщиков задач в операционной системе, а также с использованием механизмов планирования выполнения в удаленной системе через удаленный вызов процедур. Выполнение в контексте планировщика в ряде случаев позволяет авторизовать вредоносное программное обеспечение
и повысить доступные ему привилегии
| Т3.16 Запуск вредоносных программ при помощи легитимных, подписанных цифровой подписью утилит установки
приложений и средств запуска скриптов (т.н. техника проксирования запуска), а также через средства запуска кода элементов управления ActiveX, компонентов фильтров (кодеков) и компонентов библиотек DLL
| T3.17 Планирование запуска вредоносного кода при запуске компьютера путем эксплуатации стандартных механизмов
BIOS (UEFI) и т.п.
| T3.18 Эксплуатация уязвимостей типа локальное исполнение программного кода
| Т4
| Закрепление (сохранение доступа) в системе или сети
| Т4.1 Несанкционированное создание учетных записей или кража существующих учетных данных
| Т4.2 Использование штатных средств удаленного доступа и управления операционной системы
| Т4.3 Скрытая установка и запуск средств удаленного доступа и управления операционной системы. Внесение изменений в конфигурацию и состав программных и программно-аппаратных средств атакуемой системы или сети, вследствие чего
становится возможен многократный запуск вредоносного кода
| Т4.4 Маскирование подключенных устройств под легитимные (например, нанесение корпоративного логотипа,
инвентарного номера, телефона службы поддержки)
| Т4.5 Внесение соответствующих записей в реестр, автозагрузку, планировщики заданий, обеспечивающих запуск
вредоносного программного обеспечения при перезагрузке системы или сети
| Т4.6 Компрометация прошивок устройств с использованием уязвимостей или программно-аппаратных закладок, к
примеру, внедрение новых функций в BIOS (UEFI), компрометация прошивок жестких дисков
| Т4.7 Резервное копирование вредоносного кода в областях, редко подвергаемых проверке, в том числе заражение
резервных копий данных, сохранение образов в неразмеченных областях жестких дисков и сменных носителей
|
№
| Тактика
| Основные техники
|
|
| T4.8 Использование прошивок устройств с уязвимостями, к примеру, внедрение новых функций в BIOS (UEFI)
| Т5
| Управление вредоносным программным обеспечением и (или) компонентами, к которым ранее был получен доступ
| Т5.1 Удаленное управление через стандартные протоколы (например, RDP, SSH), а также использование
инфраструктуры провайдеров средств удаленного администрирования
| Т5.2 Использование штатных средств удаленного доступа и управления операционной системы
| Т5.3 Коммуникация с внешними серверами управления через хорошо известные порты на этих серверах, разрешенные
на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)
| Т5.4 Коммуникация с внешними серверами управления через нестандартные порты на этих серверах, что в некоторых
случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств
| Т5.5 Управление через съемные носители, в частности, передача команд управления между скомпрометированными
изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах
| Т5.6 Проксирование трафика управления для маскировки подозрительной сетевой активности, обхода правил на
межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика управления во избежание обнаружения
| Т5.7 Туннелирование трафика управления через VPN
| Т5.8 Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
| Т5.9 Управление через подключенные устройства, реализующие дополнительный канал связи с внешними системами
или между скомпрометированными системами в сети
| Т5.10 Использование средств обфускации, шифрования, стеганографии для сокрытия трафика управления
| Т5.11 Передача команд управления через нестандартно интерпретируемые типовые операции, к примеру, путем
выполнения копирования файла по разрешенному протоколу (FTP или подобному), путем управления разделяемыми сетевыми ресурсами по протоколу SMB и т.п.
| Т5.12 Передача команд управления через публикацию на внешнем легитимном сервисе, таком как веб-сайт, облачный
ресурс, ресурс в социальной сети и т.п.
| T5.13 Динамическое изменение адресов серверов управления, идентификаторов внешних сервисов, на которых
публикуются команды управления, и т.п. по известному алгоритму во избежание обнаружения
| Т6
| Повышение привилегий по
доступу к
| Т6.1 Получение данных для аутентификации и авторизации от имени привилегированной учетной записи путем поиска этих данных в папках и файлах, поиска в памяти или перехвата в сетевом трафике. Данные для авторизации включают
пароли, хэш-суммы паролей, токены, идентификаторы сессии, криптографические ключи, но не ограничиваются ими
| |
|
|