Execução (Tática MITRE)
O que é Execução (Tática MITRE)?
Execução (Tática MITRE)Tática MITRE ATT&CK (TA0002) que reúne as técnicas usadas para correr código controlado pelo adversário num sistema local ou remoto.
Execução (tática MITRE ATT&CK TA0002) descreve o momento em que o código controlado pelo adversário corre efetivamente no sistema da vítima. Inclui interpretadores de scripts como PowerShell, JavaScript, Python e shell; execução pelo utilizador de anexos ou atalhos maliciosos; abuso de binários nativos como rundll32 e msbuild em living-off-the-land; tarefas agendadas e criação de serviços; e mecanismos de IPC. Após o acesso inicial, os atacantes encadeiam frequentemente a execução para consolidar o foothold, combinando-a com evasão de defesas para contornar AV e EDR. Os defensores apoiam-se em telemetria de criação de processos (Sysmon EID 1, EDR), auditoria de linhas de comando, allowlisting de aplicações, inspeção AMSI e modos de linguagem restritos.
● Exemplos
- 01
Uma macro lança o PowerShell para descarregar e executar um beacon do Cobalt Strike.
- 02
Abusar do rundll32.exe para carregar uma DLL maliciosa a partir de um diretório de utilizador com permissão de escrita.
● Perguntas frequentes
O que é Execução (Tática MITRE)?
Tática MITRE ATT&CK (TA0002) que reúne as técnicas usadas para correr código controlado pelo adversário num sistema local ou remoto. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Execução (Tática MITRE)?
Tática MITRE ATT&CK (TA0002) que reúne as técnicas usadas para correr código controlado pelo adversário num sistema local ou remoto.
Como funciona Execução (Tática MITRE)?
Execução (tática MITRE ATT&CK TA0002) descreve o momento em que o código controlado pelo adversário corre efetivamente no sistema da vítima. Inclui interpretadores de scripts como PowerShell, JavaScript, Python e shell; execução pelo utilizador de anexos ou atalhos maliciosos; abuso de binários nativos como rundll32 e msbuild em living-off-the-land; tarefas agendadas e criação de serviços; e mecanismos de IPC. Após o acesso inicial, os atacantes encadeiam frequentemente a execução para consolidar o foothold, combinando-a com evasão de defesas para contornar AV e EDR. Os defensores apoiam-se em telemetria de criação de processos (Sysmon EID 1, EDR), auditoria de linhas de comando, allowlisting de aplicações, inspeção AMSI e modos de linguagem restritos.
Como se defender contra Execução (Tática MITRE)?
As defesas contra Execução (Tática MITRE) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Execução (Tática MITRE)?
Nomes alternativos comuns: Tática de execução, TA0002.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 535
Acesso Inicial
Tática do MITRE ATT&CK (TA0001) que cobre as técnicas usadas pelos atacantes para estabelecer o primeiro ponto de apoio no ambiente alvo.
- defense-ops№ 817
Persistência
Tática MITRE ATT&CK (TA0003) que reúne técnicas usadas para manter acesso ao sistema apesar de reinicializações, mudanças de credenciais e resposta a incidentes.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- defense-ops№ 265
Cyber Kill Chain
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.