Выполнение (тактика MITRE)
Что такое Выполнение (тактика MITRE)?
Выполнение (тактика MITRE)Тактика MITRE ATT&CK (TA0002), охватывающая техники запуска кода атакующего на локальной или удалённой системе.
Выполнение (тактика MITRE ATT&CK TA0002) описывает момент, когда контролируемый противником код фактически работает на системе жертвы. Сюда входят скриптовые интерпретаторы (PowerShell, JavaScript, Python, shell); запуск пользователем вредоносных вложений или ярлыков; злоупотребление штатными бинарниками вроде rundll32 и msbuild в стиле living-off-the-land; создание запланированных задач и служб; межпроцессное взаимодействие. После первоначального доступа выполнение часто используется для стабилизации присутствия и сочетается с обходом защит, чтобы уклониться от AV и EDR. Защитники применяют телеметрию создания процессов (Sysmon EID 1, EDR), аудит командной строки, allowlisting приложений, AMSI и constrained language modes, чтобы обнаруживать или блокировать выполнение.
● Примеры
- 01
Макрос запускает PowerShell, который скачивает и выполняет beacon Cobalt Strike.
- 02
Злоупотребление rundll32.exe для загрузки вредоносной DLL из доступного на запись пользовательского каталога.
● Частые вопросы
Что такое Выполнение (тактика MITRE)?
Тактика MITRE ATT&CK (TA0002), охватывающая техники запуска кода атакующего на локальной или удалённой системе. Относится к категории Защита и операции в кибербезопасности.
Что означает Выполнение (тактика MITRE)?
Тактика MITRE ATT&CK (TA0002), охватывающая техники запуска кода атакующего на локальной или удалённой системе.
Как работает Выполнение (тактика MITRE)?
Выполнение (тактика MITRE ATT&CK TA0002) описывает момент, когда контролируемый противником код фактически работает на системе жертвы. Сюда входят скриптовые интерпретаторы (PowerShell, JavaScript, Python, shell); запуск пользователем вредоносных вложений или ярлыков; злоупотребление штатными бинарниками вроде rundll32 и msbuild в стиле living-off-the-land; создание запланированных задач и служб; межпроцессное взаимодействие. После первоначального доступа выполнение часто используется для стабилизации присутствия и сочетается с обходом защит, чтобы уклониться от AV и EDR. Защитники применяют телеметрию создания процессов (Sysmon EID 1, EDR), аудит командной строки, allowlisting приложений, AMSI и constrained language modes, чтобы обнаруживать или блокировать выполнение.
Как защититься от Выполнение (тактика MITRE)?
Защита от Выполнение (тактика MITRE) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Выполнение (тактика MITRE)?
Распространённые альтернативные названия: Тактика выполнения, TA0002.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 535
Первоначальный доступ
Тактика MITRE ATT&CK (TA0001), охватывающая техники, с помощью которых атакующие закрепляются в целевой среде впервые.
- defense-ops№ 817
Закрепление (Persistence)
Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.