Тактика T7

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

T7. Сокрытие действий и применяемых при этом средств от обнаружения

Техники (29)

ID	Название техники
T7.1	Использование нарушителем или вредоносной платформой штатных инструментов администрирования, утилит и сервисов операционной системы, сторонних утилит, в том числе двойного назначения
T7.2	Очистка/затирание истории команд и журналов регистрации, перенаправление записей в журналы регистрации, переполнение истории команд и журналов регистрации, затруднение доступа к журналам регистрации для авторизованных пользователей
T7.3	Удаление файлов, переписывание файлов произвольными данными, форматирование съемных носителей
T7.4	Отключение средств защиты от угроз информационной безопасности, средств антивирусной защиты, механизмов аудита, консолей оператора мониторинга и средств защиты других типов
T7.5	Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого (контролируемого) объекта и (или) процесса
T7.6	Подделка данных вывода средств защиты от угроз информационной безопасности
T7.7	Подделка данных телеметрии, данных вывода автоматизированных систем управления, данных систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности
T7.8	Выполнение атаки отказа в обслуживании на основные и резервные каналы связи, которые могут быть использованы для доставки сообщений о неработоспособности систем или их компонентов или о других признаках атаки
T7.9	Подписание кода, включая использование скомпрометированных сертификатов авторитетных производителей ПО для подписания вредоносных программных модулей
T7.10	Внедрение вредоносного кода в доверенные процессы операционной системы и другие объекты, которые не подвергаются анализу на наличие такого кода, для предотвращения обнаружения
T7.11	Модификация модулей и конфигурации вредоносного программного обеспечения для затруднения его обнаружения в системе
T7.12	Манипуляции именами и параметрами запуска процессов и приложений для обеспечения скрытности
T7.13	Создание скрытых файлов, скрытых учетных записей
T7.14	Установление ложных доверенных отношений, в том числе установка корневых сертификатов для успешной валидации вредоносных программных модулей и авторизации внешних сервисов
T7.15	Внедрение вредоносного кода выборочным/целевым образом на наиболее важные системы или системы, удовлетворяющие определенным критериям, во избежание преждевременной компрометации информации об используемых при атаке уязвимостях и обнаружения факта атаки
T7.16	Искусственное временное ограничение распространения или активации вредоносного кода внутри сети, во избежание преждевременного обнаружения факта атаки
T7.17	Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами программного кода вредоносного ПО, данных и команд управляющего трафика
T7.18	Использование средств виртуализации для сокрытия вредоносного кода или вредоносной активности от средств обнаружения в операционной системе
T7.19	Туннелирование трафика управления через VPN
T7.20	Туннелирование трафика управления в поля заполнения и данных служебных протоколов
T7.21	Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствами
T7.22	Подмена и компрометация прошивок, в том числе прошивок BIOS, жестких дисков
T7.23	Подмена файлов легитимных программ и библиотек непосредственно в системе
T7.24	Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения, поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи
T7.25	Подмена ссылок на легитимные программы и библиотеки, а также легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, информации о таких обновлениях, включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную почту и другие средства обмена сообщениями
T7.26	Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых ресурсах
T7.27	Компрометация сертификата, используемого для цифровой подписи образа ПО
T7.28	Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой)
T7.29	Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров)

Вернуться к списку тактик

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.