Закрепление (Persistence)
Что такое Закрепление (Persistence)?
Закрепление (Persistence)Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.
Закрепление (тактика MITRE ATT&CK TA0003) объединяет техники, позволяющие противнику сохранять присутствие даже после перезагрузок систем, смены паролей и попыток зачистки. Типичные реализации: ключи автозапуска в реестре, запланированные задачи, службы Windows, подписки на события WMI, задания BITS, login items в macOS, cron в Linux, вредоносные расширения браузера, OAuth-токены и бэкдор-аккаунты в Active Directory. Атакующие часто наслаивают несколько механизмов на случай, если один из них будет удалён. Защитники обнаруживают закрепление по логам создания процессов, инвентаризации автозапуска (Sysinternals Autoruns, EDR), правилам Sigma и охоте на аномальные задачи, службы или LSA-провайдеры; устраняют полным переразвёртыванием скомпрометированных хостов.
● Примеры
- 01
Бэкдор, установленный как служба Windows со случайным GUID-именем.
- 02
Вредоносное OAuth-приложение с постоянным доступом к почтовому ящику Microsoft 365.
● Частые вопросы
Что такое Закрепление (Persistence)?
Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты. Относится к категории Защита и операции в кибербезопасности.
Что означает Закрепление (Persistence)?
Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.
Как работает Закрепление (Persistence)?
Закрепление (тактика MITRE ATT&CK TA0003) объединяет техники, позволяющие противнику сохранять присутствие даже после перезагрузок систем, смены паролей и попыток зачистки. Типичные реализации: ключи автозапуска в реестре, запланированные задачи, службы Windows, подписки на события WMI, задания BITS, login items в macOS, cron в Linux, вредоносные расширения браузера, OAuth-токены и бэкдор-аккаунты в Active Directory. Атакующие часто наслаивают несколько механизмов на случай, если один из них будет удалён. Защитники обнаруживают закрепление по логам создания процессов, инвентаризации автозапуска (Sysinternals Autoruns, EDR), правилам Sigma и охоте на аномальные задачи, службы или LSA-провайдеры; устраняют полным переразвёртыванием скомпрометированных хостов.
Как защититься от Закрепление (Persistence)?
Защита от Закрепление (Persistence) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление (Persistence)?
Распространённые альтернативные названия: Закрепление доступа, TA0003.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- malware№ 080
Бэкдор
Скрытый механизм, обходящий обычную аутентификацию или контроль доступа и обеспечивающий злоумышленнику последующий вход в систему.
- defense-ops№ 397
Выполнение (тактика MITRE)
Тактика MITRE ATT&CK (TA0002), охватывающая техники запуска кода атакующего на локальной или удалённой системе.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
● См. также
- № 535Первоначальный доступ
- № 447Golden Ticket