Специалисты Elastic Security Labs провели анализ более 100 000 образцов вредоносных программ для Windows, чтобы выявить наиболее распространенные тактики, приемы и процедуры (TTP) злоумышленников. Это помогает защитникам принимать обоснованные решения о наиболее эффективных стратегиях защиты и распределении ограниченных ресурсов.
Наиболее распространенными тактиками, выявленными в ходе анализа, стали:
- Уклонение от защиты – включает методы внедрения кода, вмешательства в защиту, маскировки и использования системных бинарных прокси-серверов для избежания обнаружения. Наиболее часто наблюдалось вмешательство в работу Microsoft Defender.
- Повышение привилегий – методы манипулирования с токенами доступа, запуска через привилегированные сервисы и обхода контроля учетных записей. Популярно использование уязвимых драйверов (BYOVD) для получения прав в режиме ядра.
- Выполнение – использование команд Windows и языков сценариев, таких как PowerShell, JavaScript и VBScript, для запуска вредоносного кода.
- Обеспечение постоянства – внедрение вредоносных программ через запланированные задачи, автозагрузку и службы Windows.
- Начальный доступ – доставка вредоносного ПО через документы с макросами, ярлыки Windows и установщики MSI.
- Доступ к учетным данным – кража информации из диспетчера учетных данных Windows и хранилищ паролей браузеров.
Авторы отмечают, что полученные данные помогают определить приоритеты при разработке средств обнаружения и выстраивании оборонительных стратегий.
Author: admin
Related Posts
Стратегия США в области международного киберпространства и цифровой политики
Документ представляет собой стратегию Государственного департамента США в области международной...
Технологические тренды 2024 от Deloitte
Отчет “Технологические тренды 2024” от компании Deloitte освещает ключевые тенденции...
Отчет: Кибербезопасность США добивается значительных успехов на фоне новых угроз
Киберпространство Соединенных Штатов за последний год неуклонно и значительно улучшалось,...