Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1204 , T1204.001 , T1204.002 , T1204.003
Злоумышленник может полагаться на определенные действия пользователя, чтобы получить исполнение. Пользователи могут быть подвергнуты социальной инженерии, чтобы заставить их выполнить вредоносный код, например, открыв файл вредоносного документа или ссылку. Такие действия пользователей обычно наблюдаются как продолжение поведения, характерного для форм фишинга.
Хотя User Execution часто происходит вскоре после первоначального доступа, оно может иметь место и на других этапах вторжения, например, когда противник помещает файл в общий каталог или на рабочий стол пользователя в надежде, что тот нажмет на него. Такая активность также может наблюдаться вскоре после Internal Spearphishing.
Злоумышленники также могут обманом заставить пользователей выполнить такие действия, как:
* включение Программы удаленного доступа, что позволяет злоумышленнику напрямую контролировать систему.
* Запуск вредоносного JavaScript в браузере, что позволяет злоумышленникам Steal Web Session Cookies (цитата: Talos Roblox Scam 2023) (цитата: Krebs Discord Bookmarks 2023)
* Загрузка и выполнение вредоносных программ для Исполнения пользователем
* Принуждение пользователей к копированию, вставке и выполнению вредоносного кода вручную(Цит. по: Reliaquest-execution)(Цит. по: proofpoint-selfpwn)
Например, мошенничество с техподдержкой может осуществляться с помощью Phishing, вишинга или различных форм взаимодействия с пользователем. Злоумышленники могут использовать комбинацию этих методов, например подмену и рекламу бесплатных номеров или колл-центров, которые используются для направления жертв на вредоносные веб-сайты, для доставки и выполнения полезной нагрузки, содержащей вредоносное ПО или Remote Access Software.(Цит. по: Telephone Attack Delivery)
https://attack.mitre.org/techniques/T1204
Визуализация смежных техник для T1204
| № | Техника |
|---|
