Специалисты Elastic Security Labs провели анализ более 100 000 образцов вредоносных программ для Windows, чтобы выявить наиболее распространенные тактики, приемы и процедуры (TTP) злоумышленников. Это помогает защитникам принимать обоснованные решения о наиболее эффективных стратегиях защиты и распределении ограниченных ресурсов.
Наиболее распространенными тактиками, выявленными в ходе анализа, стали:
- Уклонение от защиты – включает методы внедрения кода, вмешательства в защиту, маскировки и использования системных бинарных прокси-серверов для избежания обнаружения. Наиболее часто наблюдалось вмешательство в работу Microsoft Defender.
- Повышение привилегий – методы манипулирования с токенами доступа, запуска через привилегированные сервисы и обхода контроля учетных записей. Популярно использование уязвимых драйверов (BYOVD) для получения прав в режиме ядра.
- Выполнение – использование команд Windows и языков сценариев, таких как PowerShell, JavaScript и VBScript, для запуска вредоносного кода.
- Обеспечение постоянства – внедрение вредоносных программ через запланированные задачи, автозагрузку и службы Windows.
- Начальный доступ – доставка вредоносного ПО через документы с макросами, ярлыки Windows и установщики MSI.
- Доступ к учетным данным – кража информации из диспетчера учетных данных Windows и хранилищ паролей браузеров.
Авторы отмечают, что полученные данные помогают определить приоритеты при разработке средств обнаружения и выстраивании оборонительных стратегий.
Author: admin
Related Posts
Генеративный ИИ и кибербезопасность: новые вызовы и возможности
Введение Генеративный искусственный интеллект (Gen AI) стремительно меняет ландшафт кибербезопасности....
Рынок труда в ИТ: анализ текущих трендов
Введение ИТ-сфера продолжает развиваться высокими темпами, несмотря на колебания спроса...
Эволюция программ-вымогателей: от угроз киберпространства до корпоративных моделей
Введение Программы-вымогатели остаются одной из самых значительных угроз в сфере...