Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленники могут модифицировать и/или отключать средства защиты, чтобы избежать возможного обнаружения своих вредоносных программ/средств и действий. Это может принимать различные формы, такие как уничтожение процессов или служб программного обеспечения безопасности, изменение/удаление ключей реестра или конфигурационных файлов, чтобы инструменты не работали должным образом, или другие методы вмешательства в сканирование инструментов безопасности или получение информации.Злоумышленники также могут отключать обновления, чтобы последние патчи безопасности не доходили до инструментов на системах жертв.(Цитата: SCADAfence_ransomware)
Злоумышленники также могут вмешиваться в артефакты, развернутые и используемые инструментами безопасности. Средства безопасности могут вносить динамические изменения в компоненты системы, чтобы сохранить видимость определенных событий. Например, средства безопасности могут загружать свои собственные модули и/или изменять модули, загружаемые процессами, чтобы облегчить сбор данных.Подобно Блокирование индикаторов, Злоумышленники могут отсоединять или иным образом модифицировать эти функции, добавляемые инструментами (особенно те, которые существуют в пользовательском пространстве или иным образом потенциально доступны Злоумышленникам), чтобы избежать обнаружения.(Цитата: Системные вызовы OutFlank)(Цитата: Системные вызовы MDSec)
Злоумышленники также могут сосредоточиться на конкретных приложениях, таких как Sysmon. Например, значения "Start" и "Enable" в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Microsoft-Windows-Sysmon-Operational могут быть изменены, чтобы вмешаться и потенциально отключить ведение журнала Sysmon.(Цитата: disable_win_evt_logging)
На сетевых устройствах злоумышленники могут попытаться пропустить проверку подлинности цифровой подписи, изменив файлы конфигурации запуска и отключив проверку прошивки, которая обычно происходит при загрузке.(Цитата:Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation)(Цитата: Analysis of FG-IR-22-369)
В облачных средах инструменты, отключенные Злоумышленником, могут включать агенты мониторинга облачных сред, которые сообщают о происходящем в такие службы, как AWS CloudWatch или Google Cloud Monitor.
Кроме того, хотя защитные средства могут иметь механизмы защиты от несанкционированного доступа, Злоумышленники могут использовать такие инструменты, как легитимные наборы для удаления руткитов, чтобы нарушить и/или отключить эти средства.(Цитата: chasing_avaddon_ransomware)(Цитата: dharma_ransomware)(Цитата: demystifying_ryuk)(Цитата: doppelpaymer_crowdstrike) Например, Злоумышленники используют такие инструменты, как GMER, для поиска и отключения скрытых процессов и антивирусного ПО на зараженных системах.(Цитата: demystifying_ryuk)
Кроме того, злоумышленники могут использовать легитимные драйверы антивирусного ПО для получения доступа к пространству ядра (т. е. Exploitation for Privilege Escalation), что может привести к обходу функций защиты от несанкционированного доступа.(Цитата: avoslocker_ransomware)
https://attack.mitre.org/techniques/T1562/001
Визуализация смежных техник для T1562.001
| № | Техника |
|---|
