Discovery (тактика MITRE)
Что такое Discovery (тактика MITRE)?
Discovery (тактика MITRE)Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа.
Discovery (тактика MITRE ATT&CK TA0007) описывает внутреннюю разведку, которую противник проводит после закрепления. Сюда входят перечисление учётных записей, выявление конфигурации систем и сети, перечисление доменных доверий, перечень файлов и каталогов, чтение закладок и хранилищ паролей браузера, обнаружение облачных сервисов и средств защиты, а также инструменты вроде BloodHound для построения путей атаки в Active Directory. Это преимущественно операции на чтение, которые трудно блокировать напрямую, но они оставляют характерные паттерны командной строки и API-вызовов. Защитники используют EDR, аудит командной строки, обман (honey-аккаунты/файлы) и детекторы для BloodHound, AdFind или сканов net.exe, чтобы поймать атакующего между первоначальным доступом и латеральным перемещением.
● Примеры
- 01
Запуск коллектора SharpHound из BloodHound для построения путей привилегий до Domain Admin.
- 02
Выполнение net group "Domain Admins" /domain для перечисления привилегированных учётных записей.
● Частые вопросы
Что такое Discovery (тактика MITRE)?
Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа. Относится к категории Защита и операции в кибербезопасности.
Что означает Discovery (тактика MITRE)?
Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа.
Как работает Discovery (тактика MITRE)?
Discovery (тактика MITRE ATT&CK TA0007) описывает внутреннюю разведку, которую противник проводит после закрепления. Сюда входят перечисление учётных записей, выявление конфигурации систем и сети, перечисление доменных доверий, перечень файлов и каталогов, чтение закладок и хранилищ паролей браузера, обнаружение облачных сервисов и средств защиты, а также инструменты вроде BloodHound для построения путей атаки в Active Directory. Это преимущественно операции на чтение, которые трудно блокировать напрямую, но они оставляют характерные паттерны командной строки и API-вызовов. Защитники используют EDR, аудит командной строки, обман (honey-аккаунты/файлы) и детекторы для BloodHound, AdFind или сканов net.exe, чтобы поймать атакующего между первоначальным доступом и латеральным перемещением.
Как защититься от Discovery (тактика MITRE)?
Защита от Discovery (тактика MITRE) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Discovery (тактика MITRE)?
Распространённые альтернативные названия: Внутренняя разведка, TA0007.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 107
BloodHound
Открытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin.
- defense-ops№ 905
Разведка (Reconnaissance)
Первая фаза атаки, в которой противник собирает сведения о людях, технологиях и экспозиции цели, прежде чем перейти к проникновению.
- defense-ops№ 606
Латеральное перемещение (Lateral Movement)
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.