Закрепление (Persistence)
Что такое Закрепление (Persistence)?
Закрепление (Persistence)Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.
Закрепление (тактика MITRE ATT&CK TA0003) объединяет техники, позволяющие противнику сохранять присутствие даже после перезагрузок систем, смены паролей и попыток зачистки. Типичные реализации: ключи автозапуска в реестре, запланированные задачи, службы Windows, подписки на события WMI, задания BITS, login items в macOS, cron в Linux, вредоносные расширения браузера, OAuth-токены и бэкдор-аккаунты в Active Directory. Атакующие часто наслаивают несколько механизмов на случай, если один из них будет удалён. Защитники обнаруживают закрепление по логам создания процессов, инвентаризации автозапуска (Sysinternals Autoruns, EDR), правилам Sigma и охоте на аномальные задачи, службы или LSA-провайдеры; устраняют полным переразвёртыванием скомпрометированных хостов.
● Примеры
- 01
Бэкдор, установленный как служба Windows со случайным GUID-именем.
- 02
Вредоносное OAuth-приложение с постоянным доступом к почтовому ящику Microsoft 365.
● Частые вопросы
Что такое Закрепление (Persistence)?
Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты. Относится к категории Защита и операции в кибербезопасности.
Что означает Закрепление (Persistence)?
Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.
Как защититься от Закрепление (Persistence)?
Защита от Закрепление (Persistence) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление (Persistence)?
Распространённые альтернативные названия: Закрепление доступа, TA0003.