実行(MITRE 戦術)
実行(MITRE 戦術) とは何ですか?
実行(MITRE 戦術)ローカルまたはリモートのシステム上で攻撃者が制御するコードを動作させる手法を扱う MITRE ATT&CK の戦術(TA0002)。
実行(MITRE ATT&CK 戦術 TA0002)は、攻撃者が制御するコードが実際に被害システム上で動作する局面を指します。PowerShell・JavaScript・Python・シェルなどのスクリプトインタプリタ、悪意ある添付ファイルやショートカットのユーザー実行、rundll32 や msbuild などの正規バイナリを悪用した「Living-off-the-Land」、スケジュールタスクやサービスの作成、IPC メカニズムなどが含まれます。攻撃者は初期アクセス後に実行で足場を安定化させ、AV や EDR を回避するために防御回避と組み合わせることが多いです。防御側は、プロセス生成テレメトリ(Sysmon EID 1、EDR)、コマンドライン監査、アプリケーション許可リスト、AMSI 検査、制約付き言語モードなどを活用して検知・防止します。
● 例
- 01
マクロが PowerShell を起動して Cobalt Strike のビーコンをダウンロード・実行する。
- 02
rundll32.exe を悪用し、書込み可能なユーザーディレクトリから悪意ある DLL をロードする。
● よくある質問
実行(MITRE 戦術) とは何ですか?
ローカルまたはリモートのシステム上で攻撃者が制御するコードを動作させる手法を扱う MITRE ATT&CK の戦術(TA0002)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
実行(MITRE 戦術) とはどういう意味ですか?
ローカルまたはリモートのシステム上で攻撃者が制御するコードを動作させる手法を扱う MITRE ATT&CK の戦術(TA0002)。
実行(MITRE 戦術) はどのように機能しますか?
実行(MITRE ATT&CK 戦術 TA0002)は、攻撃者が制御するコードが実際に被害システム上で動作する局面を指します。PowerShell・JavaScript・Python・シェルなどのスクリプトインタプリタ、悪意ある添付ファイルやショートカットのユーザー実行、rundll32 や msbuild などの正規バイナリを悪用した「Living-off-the-Land」、スケジュールタスクやサービスの作成、IPC メカニズムなどが含まれます。攻撃者は初期アクセス後に実行で足場を安定化させ、AV や EDR を回避するために防御回避と組み合わせることが多いです。防御側は、プロセス生成テレメトリ(Sysmon EID 1、EDR)、コマンドライン監査、アプリケーション許可リスト、AMSI 検査、制約付き言語モードなどを活用して検知・防止します。
実行(MITRE 戦術) からどのように防御しますか?
実行(MITRE 戦術) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
実行(MITRE 戦術) の別名は何ですか?
一般的な別名: 実行戦術, TA0002。
● 関連用語
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 535
初期アクセス
標的環境への最初の足場を確立するために攻撃者が用いる手法をまとめた MITRE ATT&CK の戦術(TA0001)。
- defense-ops№ 817
永続化(Persistence)
再起動・資格情報変更・インシデント対応を経てもシステムへのアクセスを維持する手法を扱う MITRE ATT&CK 戦術(TA0003)。
- defense-ops№ 298
防御回避(Defense Evasion)
検知を回避し、セキュリティ製品を無効化し、活動を隠すために攻撃者が用いる手法をまとめた MITRE ATT&CK 戦術(TA0005)。
- defense-ops№ 265
サイバーキルチェーン
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。