Mitre Att&ck важен для улучшения общего обнаружения киберугроз, но вам, возможно, придется заплатить огромную цену, если вы проигнорируете этот метод Att&ck
В последние годы угрозы кибербезопасности значительно возросли, поскольку злоумышленники используют сложные методы для проникновения в сети и компрометации конфиденциальных данных. Платформа Mitre ATT&CK обеспечивает комплексный и структурированный подход к пониманию и анализу киберугроз. Платформа классифицирует и описывает различные тактики и методы, которые злоумышленники используют для получения доступа, сохранения устойчивости и достижения своих целей.
Mitre Att&ck в двух словах
Mitre ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это глобально доступная база знаний известных тактик, методов и процедур (TTP), используемых киберпреступниками. Он был создан и поддерживается корпорацией MITRE, некоммерческой организацией, управляющей научно-исследовательскими центрами, спонсируемыми правительством США.
Платформа Mitre ATT&CK предоставляет стандартизированный язык для описания поведения киберпреступников, а также полный набор инструментов и методологий для выявления, смягчения и обнаружения киберугроз. Он используется аналитиками безопасности, охотниками за угрозами и службами реагирования на инциденты для понимания и классификации киберугроз на основе методов, используемых злоумышленниками.
Структура разделена на два основных раздела: тактика и техника. Тактика — это цели или задачи злоумышленника, такие как получение доступа, настойчивость или эксфильтрация. Методы — это конкретные методы или действия, используемые злоумышленниками для достижения этих целей, такие как использование фишинговой электронной почты для получения первоначального доступа или использование уязвимости для обеспечения устойчивости.
Платформа Mitre ATT&CK регулярно обновляется, чтобы отражать последние данные об угрозах, а также развивающиеся тактики и методы, используемые злоумышленниками. Он стал широко распространенным отраслевым стандартом и используется службами безопасности по всему миру для улучшения защиты от киберугроз.
T1059: Интерпретатор команд и сценариев — самый важный метод Mitre Att&ck
В современном мире злоумышленники могут выполнять команды, сценарии и двоичные файлы на целях, и он представлен как интерпретатор команд и сценариев в Mitre Att&ck. Во многих случаях злоумышленники используют эту технику для подключения к локальным и удаленным системам и выполнения вредоносного кода на ресурсах жертвы. Техника интерпретатора команд и сценариев MITRE ATT&CK чаще всего используется злоумышленниками из-за ее прямого воздействия и эффективности.
Согласно официальному сайту Mitre Att&ck, вот список киберугроз и злоумышленников, которые используют в своих атаках технику T1059 Command and Scripting Interpreter.
- G0073 — APT19: APT19 загрузил и запустил код в файле SCT.
- G0050 — APT32: APT32 использовал скрипты COM для загрузки маяков Cobalt Strike.
- G0067 — APT37: APT37 использовал скрипты Ruby для выполнения полезных нагрузок.
- G0087 — APT39: APT39 использовал AutoIt и пользовательские сценарии для проведения внутренней разведки.
- S0234 — Bandook: Bandook может поддерживать команды для выполнения полезных нагрузок на основе Java.
- S0486 — Bonadan: Bonadan может создавать привязку и обратную оболочку в зараженной системе.
- S0023 — ПАЛОЧКА ДЛЯ ЕДЫ : ПАЛОЧКА ДЛЯ ЕДЫ способна выполнять удаленное выполнение команды.
- S0334 — DarkComet: DarkComet может выполнять различные типы скриптов на машине жертвы.
- S0695 — Donut: Donut может генерировать выходные данные шелл-кода, которые выполняются через Ruby.
- G0035 — Dragonfly: Стрекоза использовала командную строку для выполнения.
- S0363 — Империя: Империя использует интерфейс командной строки для взаимодействия с системами.
- G0053 — FIN5: FIN5 сканирует процессы на всех системах-жертвах в среде и использует автоматизированные сценарии для извлечения результатов.
- G0037 — FIN6: FIN6 использовал сценарий для повторения списка скомпрометированных систем PoS, копирования данных в файл журнала и удаления исходных файлов данных.
- G0046 — FIN7: FIN7 использовал сценарии SQL для выполнения задач на компьютере жертвы.
- S0618 — FIVEHANDS: FIVEHANDS может получить аргумент командной строки, чтобы ограничить шифрование файлов указанными каталогами.
- G0117 — Fox Kitten: Fox Kitten использовал обратную оболочку Perl для связи с C2.
- S0460 — Get2: Get2 может запускать исполняемые файлы с аргументами командной строки.
- S0032 — gh0st RAT: gh0st RAT может открывать удаленную оболочку для выполнения команд.
- S0434 — Imminent Monitor: Imminent Monitor имеет модули CommandPromptPacket и ScriptPacket для создания удаленной оболочки и выполнения сценариев.
- G0004 — Ke3chang: вредоносное ПО, используемое Ke3chang, может запускать команды в интерфейсе командной строки.
- S0487 — Kessel: Kessel может создать обратную оболочку между зараженным хостом и указанной системой.
- S0167 — Матрешка: Матрешка может предоставлять доступ к оболочке Meterpreter.
- S0530 — Melcoz: Melcoz распространяется через скрипт загрузчика AutoIt.
- G0049 — OilRig: OilRig использовала различные типы сценариев для выполнения.
- C0005 — Операция Spalax: для операции Spalax злоумышленники использовали сценарии Nullsoft Scriptable Install System (NSIS) для установки вредоносного ПО.
- S0598 — П.А.С. Webshell : P.A.S. Webshell имеет возможность создавать обратные оболочки с помощью Perl-скриптов.
- S0428 — PoetRAT: PoetRAT выполнил сценарий Lua через интерпретатор Lua для Windows.
- S0374 — SpeakUp: SpeakUp использует сценарии Perl.
- G0038 — Stealth Falcon: вредоносное ПО Stealth Falcon использует WMI для сбора данных и выполнения команд на жертве.
- G0107 — Белокрылка: Белокрылка использовала простой инструмент удаленной оболочки, который будет обращаться к серверу C2 и ждать команд.
- G0124 — Windigo: Windigo использовала Perl-скрипт для сбора информации.
- S0219 — WINERACK: WINERACK может создать обратную оболочку, которая использует статически связанный код Wine cmd.exe для эмуляции команд командной строки Windows.
- S0330 — Зевс Панда: Зевс Панда может запускать удаленные скрипты на машине жертвы.
Кроме того, согласно Репозиторию кибераналитики MITRE, интерпретатор команд и сценариев состоит из наибольшего количества Правил сигмы, которые, в свою очередь, показывают, насколько важен этот метод.
Заключение
В заключение отметим, что метод интерпретатора команд и сценариев является важным инструментом для обнаружения угроз в сети организации. Этот метод помогает группам безопасности обнаруживать подозрительные действия, которые могут быть пропущены другими средствами безопасности, например заражение вредоносным ПО и кража учетных данных. Отслеживая интерфейсы командной строки, группы безопасности могут обнаруживать эти действия и предотвращать дальнейшие атаки.
Кроме того, для эффективного использования этого метода важно использовать правильные источники журналов. Источники журналов, такие как журналы командной строки, журналы PowerShell и журналы Sysmon, имеют решающее значение для обнаружения угроз, связанных с методом интерпретатора команд и сценариев.
В целом организации должны уделять первоочередное внимание использованию интерпретатора команд и сценариев для обеспечения безопасности своих сетей. Зная о потенциальных угрозах и принимая упреждающие меры для их обнаружения и предотвращения, организации могут значительно снизить риск успешной кибератаки.
Нравится моя работа? Тогда почему бы вам не поддержать меня:
Также от автора:
- Россия, Китай, США, Украина — что означает геополитика для вашей стратегии разведки киберугроз?
- Знаете ли вы, что у Darkweb есть собственные суды и система правосудия?
- Как моя статья заняла первое место в Google с SEO
- Создание Darkweb Crawler с использованием Python и Tor
- Использование ChatGPT для создания инструмента мониторинга DarkWeb
- Как найти скомпрометированные учетные данные в Darkweb?
- Может ли TOR сохранить вашу анонимность? Посмотрите, как ФБР арестовало нелегального пользователя TOR
- Исследуйте Darkweb с помощью этих поверхностных веб-ресурсов: большая коллекция луковых ссылок Darkweb
- Не арестовывайтесь! Стоит ли использовать VPN для поиска ошибок?
- Раскрыты секреты программы-вымогателя LockBit!!!
- Информация о киберугрозах — это не просто индикаторы компрометации. Проверка фактов!
- Искусство оценивать киберугрозы: как профессионалу выявлять и снижать реальные риски
- Топ-10 активных банд-вымогателей: геополитика, происхождение и цели
- За пределами даркнета: Telegram становится новым хабом для злоумышленников
- Вы не поверите, как этот инструмент ИИ может создать сайт за считанные минуты!
- Зависимость от ChatGPT: 3 причины, почему ChatGPT сделает вас одержимыми!
- Знай своего противника: программа-вымогатель Кубы
- Переговоры о программах-вымогателях: что можно и чего нельзя делать
- Как я заработал свою первую награду Bug Bounty в размере 1000 долларов
- Как со временем повысить эффективность Bug Bounty?
- Как добиться успеха в Bug Bounty?
- 7 лучших советов для достижения успеха в программах Bug Bounty
- Как получить работу в сфере кибербезопасности?