Главная страница
Навигация по странице:

  • Тактика Основные

  • Модель угроз. Утверждена приказом ау


    Скачать 1.31 Mb.
    НазваниеУтверждена приказом ау
    АнкорМодель угроз
    Дата16.03.2023
    Размер1.31 Mb.
    Формат файлаdocx
    Имя файлаilovepdf_merged1.docx
    ТипДокументы
    #994051
    страница46 из 88
    1   ...   42   43   44   45   46   47   48   49   ...   88





    Тактика

    Основные техники







    Т2.16 Доступ путем использования возможности допуска ошибок в управлении инфраструктурой системы потребителя

    облачных услуг, иммигрированной в облако

    Т3

    Внедрение и исполнение вредоносного программного обеспечения в системах и сетях

    Т3.1 Автоматический запуск скриптов и исполняемых файлов в системе с использованием пользовательских или

    системных учетных данных, в том числе с использованием методов социальной инженерии

    Т3.2 Активация и выполнение вредоносного кода, внедренного в виде закладок в легитимное программное и

    программное-аппаратное обеспечение систем и сетей

    Т3.3 Автоматическая загрузка вредоносного кода с удаленного сайта или ресурса с последующим запуском на

    выполнение

    Т3.4 Копирование и запуск скриптов и исполняемых файлов через средства удаленного управления операционной

    системой и сервисами

    Т3.5 Эксплуатация уязвимостей типа удаленное исполнение программного кода (RCE, Remotecodeexecution)

    Т3.6 Автоматическое создание вредоносных скриптов при помощи доступного инструментария от имени пользователя

    в системе с использованием его учетных данных

    Т3.7 Подмена файлов легитимных программ и библиотек непосредственно в системе

    Т3.8 Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения,

    поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи

    Т3.9 Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, подмена информации о таких обновлениях, включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы,

    атаки на электронную почту и другие средства обмена сообщениями

    Т3.10 Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых

    ресурсах

    Т3.11 Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования

    криптографических ключей, хранения и управления цифровыми сертификатами

    Т3.12 Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих

    приложений (компиляторов, линковщиков, средств управления разработкой) для последующего автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы





    Тактика

    Основные техники







    Т3.13 Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров) в инфраструктуре целевой системы для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на

    целевые для нарушителя системы

    Т3.14 Планирование запуска вредоносных программ при старте операционной системы путем эксплуатации стандартных механизмов, в том числе путем правки ключей реестра, отвечающих за автоматический запуск программ,

    запуска вредоносных программ как сервисов и т.п.

    Т3.15 Планирование запуска вредоносных программ через планировщиков задач в операционной системе, а также с использованием механизмов планирования выполнения в удаленной системе через удаленный вызов процедур. Выполнение в контексте планировщика в ряде случаев позволяет авторизовать вредоносное программное обеспечение

    и повысить доступные ему привилегии

    Т3.16 Запуск вредоносных программ при помощи легитимных, подписанных цифровой подписью утилит установки

    приложений и средств запуска скриптов (т.н. техника проксирования запуска), а также через средства запуска кода элементов управления ActiveX, компонентов фильтров (кодеков) и компонентов библиотек DLL

    T3.17 Планирование запуска вредоносного кода при запуске компьютера путем эксплуатации стандартных механизмов

    BIOS (UEFI) и т.п.

    T3.18 Эксплуатация уязвимостей типа локальное исполнение программного кода

    Т4

    Закрепление (сохранение доступа) в системе или сети

    Т4.1 Несанкционированное создание учетных записей или кража существующих учетных данных

    Т4.2 Использование штатных средств удаленного доступа и управления операционной системы

    Т4.3 Скрытая установка и запуск средств удаленного доступа и управления операционной системы. Внесение изменений в конфигурацию и состав программных и программно-аппаратных средств атакуемой системы или сети, вследствие чего

    становится возможен многократный запуск вредоносного кода

    Т4.4 Маскирование подключенных устройств под легитимные (например, нанесение корпоративного логотипа,

    инвентарного номера, телефона службы поддержки)

    Т4.5 Внесение соответствующих записей в реестр, автозагрузку, планировщики заданий, обеспечивающих запуск

    вредоносного программного обеспечения при перезагрузке системы или сети

    Т4.6 Компрометация прошивок устройств с использованием уязвимостей или программно-аппаратных закладок, к

    примеру, внедрение новых функций в BIOS (UEFI), компрометация прошивок жестких дисков

    Т4.7 Резервное копирование вредоносного кода в областях, редко подвергаемых проверке, в том числе заражение

    резервных копий данных, сохранение образов в неразмеченных областях жестких дисков и сменных носителей





    Тактика

    Основные техники







    T4.8 Использование прошивок устройств с уязвимостями, к примеру, внедрение новых функций в BIOS (UEFI)

    Т5

    Управление вредоносным программным обеспечением и (или) компонентами, к которым ранее был получен доступ

    Т5.1 Удаленное управление через стандартные протоколы (например, RDP, SSH), а также использование

    инфраструктуры провайдеров средств удаленного администрирования

    Т5.2 Использование штатных средств удаленного доступа и управления операционной системы

    Т5.3 Коммуникация с внешними серверами управления через хорошо известные порты на этих серверах, разрешенные

    на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)

    Т5.4 Коммуникация с внешними серверами управления через нестандартные порты на этих серверах, что в некоторых

    случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств

    Т5.5 Управление через съемные носители, в частности, передача команд управления между скомпрометированными

    изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах

    Т5.6 Проксирование трафика управления для маскировки подозрительной сетевой активности, обхода правил на

    межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика управления во избежание обнаружения

    Т5.7 Туннелирование трафика управления через VPN

    Т5.8 Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,

    туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие

    Т5.9 Управление через подключенные устройства, реализующие дополнительный канал связи с внешними системами

    или между скомпрометированными системами в сети

    Т5.10 Использование средств обфускации, шифрования, стеганографии для сокрытия трафика управления

    Т5.11 Передача команд управления через нестандартно интерпретируемые типовые операции, к примеру, путем

    выполнения копирования файла по разрешенному протоколу (FTP или подобному), путем управления разделяемыми сетевыми ресурсами по протоколу SMB и т.п.

    Т5.12 Передача команд управления через публикацию на внешнем легитимном сервисе, таком как веб-сайт, облачный

    ресурс, ресурс в социальной сети и т.п.

    T5.13 Динамическое изменение адресов серверов управления, идентификаторов внешних сервисов, на которых

    публикуются команды управления, и т.п. по известному алгоритму во избежание обнаружения

    Т6

    Повышение привилегий по

    доступу к

    Т6.1 Получение данных для аутентификации и авторизации от имени привилегированной учетной записи путем поиска этих данных в папках и файлах, поиска в памяти или перехвата в сетевом трафике. Данные для авторизации включают

    пароли, хэш-суммы паролей, токены, идентификаторы сессии, криптографические ключи, но не ограничиваются ими
    1   ...   42   43   44   45   46   47   48   49   ...   88


    написать администратору сайта