Mitre Att&ck важен для улучшения общего обнаружения киберугроз, но вам, возможно, придется заплатить огромную цену, если вы проигнорируете этот метод Att&ck

В последние годы угрозы кибербезопасности значительно возросли, поскольку злоумышленники используют сложные методы для проникновения в сети и компрометации конфиденциальных данных. Платформа Mitre ATT&CK обеспечивает комплексный и структурированный подход к пониманию и анализу киберугроз. Платформа классифицирует и описывает различные тактики и методы, которые злоумышленники используют для получения доступа, сохранения устойчивости и достижения своих целей.

Mitre Att&ck в двух словах

Mitre ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это глобально доступная база знаний известных тактик, методов и процедур (TTP), используемых киберпреступниками. Он был создан и поддерживается корпорацией MITRE, некоммерческой организацией, управляющей научно-исследовательскими центрами, спонсируемыми правительством США.

Платформа Mitre ATT&CK предоставляет стандартизированный язык для описания поведения киберпреступников, а также полный набор инструментов и методологий для выявления, смягчения и обнаружения киберугроз. Он используется аналитиками безопасности, охотниками за угрозами и службами реагирования на инциденты для понимания и классификации киберугроз на основе методов, используемых злоумышленниками.

Структура разделена на два основных раздела: тактика и техника. Тактика — это цели или задачи злоумышленника, такие как получение доступа, настойчивость или эксфильтрация. Методы — это конкретные методы или действия, используемые злоумышленниками для достижения этих целей, такие как использование фишинговой электронной почты для получения первоначального доступа или использование уязвимости для обеспечения устойчивости.

Платформа Mitre ATT&CK регулярно обновляется, чтобы отражать последние данные об угрозах, а также развивающиеся тактики и методы, используемые злоумышленниками. Он стал широко распространенным отраслевым стандартом и используется службами безопасности по всему миру для улучшения защиты от киберугроз.

Не оставайтесь в темноте и будьте впереди игры: нажмите здесь, чтобы присоединиться к моему сообществу и научиться реальной кибербезопасности!

T1059: Интерпретатор команд и сценариев — самый важный метод Mitre Att&ck

В современном мире злоумышленники могут выполнять команды, сценарии и двоичные файлы на целях, и он представлен как интерпретатор команд и сценариев в Mitre Att&ck. Во многих случаях злоумышленники используют эту технику для подключения к локальным и удаленным системам и выполнения вредоносного кода на ресурсах жертвы. Техника интерпретатора команд и сценариев MITRE ATT&CK чаще всего используется злоумышленниками из-за ее прямого воздействия и эффективности.

Согласно официальному сайту Mitre Att&ck, вот список киберугроз и злоумышленников, которые используют в своих атаках технику T1059 Command and Scripting Interpreter.

  • G0073 — APT19: APT19 загрузил и запустил код в файле SCT.
  • G0050 — APT32: APT32 использовал скрипты COM для загрузки маяков Cobalt Strike.
  • G0067 — APT37: APT37 использовал скрипты Ruby для выполнения полезных нагрузок.
  • G0087 — APT39: APT39 использовал AutoIt и пользовательские сценарии для проведения внутренней разведки.
  • S0234 — Bandook: Bandook может поддерживать команды для выполнения полезных нагрузок на основе Java.
  • S0486 — Bonadan: Bonadan может создавать привязку и обратную оболочку в зараженной системе.
  • S0023 — ПАЛОЧКА ДЛЯ ЕДЫ : ПАЛОЧКА ДЛЯ ЕДЫ способна выполнять удаленное выполнение команды.
  • S0334 — DarkComet: DarkComet может выполнять различные типы скриптов на машине жертвы.
  • S0695 — Donut: Donut может генерировать выходные данные шелл-кода, которые выполняются через Ruby.
  • G0035 — Dragonfly: Стрекоза использовала командную строку для выполнения.
  • S0363 — Империя: Империя использует интерфейс командной строки для взаимодействия с системами.
  • G0053 — FIN5: FIN5 сканирует процессы на всех системах-жертвах в среде и использует автоматизированные сценарии для извлечения результатов.
  • G0037 — FIN6: FIN6 использовал сценарий для повторения списка скомпрометированных систем PoS, копирования данных в файл журнала и удаления исходных файлов данных.
  • G0046 — FIN7: FIN7 использовал сценарии SQL для выполнения задач на компьютере жертвы.
  • S0618 — FIVEHANDS: FIVEHANDS может получить аргумент командной строки, чтобы ограничить шифрование файлов указанными каталогами.
  • G0117 — Fox Kitten: Fox Kitten использовал обратную оболочку Perl для связи с C2.
  • S0460 — Get2: Get2 может запускать исполняемые файлы с аргументами командной строки.
  • S0032 — gh0st RAT: gh0st RAT может открывать удаленную оболочку для выполнения команд.
  • S0434 — Imminent Monitor: Imminent Monitor имеет модули CommandPromptPacket и ScriptPacket для создания удаленной оболочки и выполнения сценариев.
  • G0004 — Ke3chang: вредоносное ПО, используемое Ke3chang, может запускать команды в интерфейсе командной строки.
  • S0487 — Kessel: Kessel может создать обратную оболочку между зараженным хостом и указанной системой.
  • S0167 — Матрешка: Матрешка может предоставлять доступ к оболочке Meterpreter.
  • S0530 — Melcoz: Melcoz распространяется через скрипт загрузчика AutoIt.
  • G0049 — OilRig: OilRig использовала различные типы сценариев для выполнения.
  • C0005 — Операция Spalax: для операции Spalax злоумышленники использовали сценарии Nullsoft Scriptable Install System (NSIS) для установки вредоносного ПО.
  • S0598 — П.А.С. Webshell : P.A.S. Webshell имеет возможность создавать обратные оболочки с помощью Perl-скриптов.
  • S0428 — PoetRAT: PoetRAT выполнил сценарий Lua через интерпретатор Lua для Windows.
  • S0374 — SpeakUp: SpeakUp использует сценарии Perl.
  • G0038 — Stealth Falcon: вредоносное ПО Stealth Falcon использует WMI для сбора данных и выполнения команд на жертве.
  • G0107 — Белокрылка: Белокрылка использовала простой инструмент удаленной оболочки, который будет обращаться к серверу C2 и ждать команд.
  • G0124 — Windigo: Windigo использовала Perl-скрипт для сбора информации.
  • S0219 — WINERACK: WINERACK может создать обратную оболочку, которая использует статически связанный код Wine cmd.exe для эмуляции команд командной строки Windows.
  • S0330 — Зевс Панда: Зевс Панда может запускать удаленные скрипты на машине жертвы.

Кроме того, согласно Репозиторию кибераналитики MITRE, интерпретатор команд и сценариев состоит из наибольшего количества Правил сигмы, которые, в свою очередь, показывают, насколько важен этот метод.

Заключение

В заключение отметим, что метод интерпретатора команд и сценариев является важным инструментом для обнаружения угроз в сети организации. Этот метод помогает группам безопасности обнаруживать подозрительные действия, которые могут быть пропущены другими средствами безопасности, например заражение вредоносным ПО и кража учетных данных. Отслеживая интерфейсы командной строки, группы безопасности могут обнаруживать эти действия и предотвращать дальнейшие атаки.

Кроме того, для эффективного использования этого метода важно использовать правильные источники журналов. Источники журналов, такие как журналы командной строки, журналы PowerShell и журналы Sysmon, имеют решающее значение для обнаружения угроз, связанных с методом интерпретатора команд и сценариев.

В целом организации должны уделять первоочередное внимание использованию интерпретатора команд и сценариев для обеспечения безопасности своих сетей. Зная о потенциальных угрозах и принимая упреждающие меры для их обнаружения и предотвращения, организации могут значительно снизить риск успешной кибератаки.

Нравится моя работа? Тогда почему бы вам не поддержать меня:

Купи мне кофе!

Не оставайтесь в неведении и оставайтесь на шаг впереди: нажмите здесь, чтобы присоединиться к моему сообществу и научиться реальной кибербезопасности!

Также от автора: