Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1518 , T1518.001
Злоумышленники могут попытаться получить список программного обеспечения безопасности, конфигураций, защитных инструментов и датчиков, установленных в системе или в облачной среде. Сюда могут входить такие вещи, как агенты облачного мониторинга и антивирусы. Злоумышленники могут использовать информацию из Security Software Discovery во время автоматического обнаружения для формирования последующего поведения, включая то, полностью ли Злоумышленник заражает цель и/или пытается выполнить определенные действия.
Для получения информации о программном обеспечении безопасности можно использовать следующие команды: netsh, reg query с помощью Reg, dir с помощью cmd и Tasklist, но другие индикаторы поведения при обнаружении могут быть более специфичными для типа программного обеспечения или системы безопасности, которую ищет Злоумышленник. Все чаще можно видеть, как вредоносные программы для macOS выполняют проверку на наличие программ LittleSnitch и KnockKnock.
Злоумышленники также могут использовать Cloud API для обнаружения "облачных" программ безопасности, установленных на вычислительной инфраструктуре, таких как агент AWS CloudWatch, Azure VM Agent и Google Cloud Monitor.Эти агенты могут собирать метрики и журналы с ВМ, которые могут быть централизованно объединены в облачной платформе мониторинга.
https://attack.mitre.org/techniques/T1518/001
Визуализация смежных техник для T1518.001
| № | Техника |
|---|
