Обход защит (Defense Evasion)
Что такое Обход защит (Defense Evasion)?
Обход защит (Defense Evasion)Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
Обход защит (тактика MITRE ATT&CK TA0005) объединяет техники, призванные обходить, «ослеплять» или обманывать средства защиты, и является одной из крупнейших тактик матрицы. Сюда входят обфусцированные и зашифрованные полезные нагрузки, инъекции в процессы, DLL side-loading, исполнение через подписанные бинарники (LOLBins), отключение или удаление EDR/AV, очистка журналов событий, маскарад под легитимные процессы, злоупотребление доверенными каталогами, руткиты и атаки BYOVD (Bring Your Own Vulnerable Driver). Обход защит обычно переплетается с другими тактиками на протяжении всей атаки. Защитники противодействуют ему телеметрией уровня ядра, защитой EDR от вмешательства, неизменяемыми журналами, учётом подписанных бинарников и поведенческими детектами, оценивающими цепочки действий, а не отдельные сигнатуры.
● Примеры
- 01
Подгрузка уязвимого подписанного драйвера, чтобы отключить агент EDR из режима ядра.
- 02
Переименование вредоносного исполняемого файла в svchost.exe и размещение в C:\Windows\.
● Частые вопросы
Что такое Обход защит (Defense Evasion)?
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность. Относится к категории Защита и операции в кибербезопасности.
Что означает Обход защит (Defense Evasion)?
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
Как защититься от Обход защит (Defense Evasion)?
Защита от Обход защит (Defense Evasion) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обход защит (Defense Evasion)?
Распространённые альтернативные названия: Уклонение от защит, TA0005.