Обход защит (Defense Evasion)
Что такое Обход защит (Defense Evasion)?
Обход защит (Defense Evasion)Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
Обход защит (тактика MITRE ATT&CK TA0005) объединяет техники, призванные обходить, «ослеплять» или обманывать средства защиты, и является одной из крупнейших тактик матрицы. Сюда входят обфусцированные и зашифрованные полезные нагрузки, инъекции в процессы, DLL side-loading, исполнение через подписанные бинарники (LOLBins), отключение или удаление EDR/AV, очистка журналов событий, маскарад под легитимные процессы, злоупотребление доверенными каталогами, руткиты и атаки BYOVD (Bring Your Own Vulnerable Driver). Обход защит обычно переплетается с другими тактиками на протяжении всей атаки. Защитники противодействуют ему телеметрией уровня ядра, защитой EDR от вмешательства, неизменяемыми журналами, учётом подписанных бинарников и поведенческими детектами, оценивающими цепочки действий, а не отдельные сигнатуры.
● Примеры
- 01
Подгрузка уязвимого подписанного драйвера, чтобы отключить агент EDR из режима ядра.
- 02
Переименование вредоносного исполняемого файла в svchost.exe и размещение в C:\Windows\.
● Частые вопросы
Что такое Обход защит (Defense Evasion)?
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность. Относится к категории Защита и операции в кибербезопасности.
Что означает Обход защит (Defense Evasion)?
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
Как работает Обход защит (Defense Evasion)?
Обход защит (тактика MITRE ATT&CK TA0005) объединяет техники, призванные обходить, «ослеплять» или обманывать средства защиты, и является одной из крупнейших тактик матрицы. Сюда входят обфусцированные и зашифрованные полезные нагрузки, инъекции в процессы, DLL side-loading, исполнение через подписанные бинарники (LOLBins), отключение или удаление EDR/AV, очистка журналов событий, маскарад под легитимные процессы, злоупотребление доверенными каталогами, руткиты и атаки BYOVD (Bring Your Own Vulnerable Driver). Обход защит обычно переплетается с другими тактиками на протяжении всей атаки. Защитники противодействуют ему телеметрией уровня ядра, защитой EDR от вмешательства, неизменяемыми журналами, учётом подписанных бинарников и поведенческими детектами, оценивающими цепочки действий, а не отдельные сигнатуры.
Как защититься от Обход защит (Defense Evasion)?
Защита от Обход защит (Defense Evasion) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обход защит (Defense Evasion)?
Распространённые альтернативные названия: Уклонение от защит, TA0005.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- malware№ 949
Руткит
Скрытное вредоносное ПО, обеспечивающее и маскирующее привилегированный доступ к ОС или устройству, обходя стандартные средства обнаружения.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- forensics-ir№ 049
Антифорензика
Методы, применяемые злоумышленниками или сторонниками приватности для затруднения, задержки или срыва цифровых криминалистических расследований.
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.