Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Контрмера Antivirus/Antimalware
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Контрмеры
Antivirus/Antimalware
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Antivirus/Antimalware

Use signatures or heuristics to detect malicious software.
ID: M1049
Version: 1.1
Created: 11 Jun 2019
Last Modified: 31 Mar 2020

Techniques Addressed by Mitigation
Domain ID Name Use
Enterprise T1547 T1547.006 Boot or Logon Autostart Execution: Kernel Modules and Extensions

Common tools for detecting Linux rootkits include: rkhunter (Citation: SourceForge rkhunter), chrootkit (Citation: Chkrootkit Main), although rootkits may be designed to evade certain detection tools.
Enterprise T1059 Command and Scripting Interpreter

Anti-virus can be used to automatically quarantine suspicious files.

T1059.001 PowerShell

Anti-virus can be used to automatically quarantine suspicious files.

T1059.005 Visual Basic

Anti-virus can be used to automatically quarantine suspicious files.

T1059.006 Python

Anti-virus can be used to automatically quarantine suspicious files.

Enterprise T1027 Obfuscated Files or Information

Anti-virus can be used to automatically detect and quarantine suspicious files. Consider utilizing the Antimalware Scan Interface (AMSI) on Windows 10 to analyze commands after being processed/interpreted. (Citation: Microsoft AMSI June 2015)

T1027.002 Software Packing

Employ heuristic-based malware detection. Ensure updated virus definitions and create custom signatures for observed malware.

T1027.009 Embedded Payloads

Anti-virus can be used to automatically detect and quarantine suspicious files.

Enterprise T1566 Phishing

Anti-virus can automatically quarantine suspicious files.

T1566.001 Spearphishing Attachment

Anti-virus can also automatically quarantine suspicious files.

T1566.003 Spearphishing via Service

Anti-virus can also automatically quarantine suspicious files.

Enterprise T1221 Template Injection

Network/Host intrusion prevention systems, antivirus, and detonation chambers can be employed to prevent documents from fetching and/or executing malicious payloads.(Citation: Anomali Template Injection MAR 2018)

References

  1. Intel_Acquisition_Team. (2018, March 1). Credential Harvesting and Malicious File Delivery using Microsoft Office Template Injection. Retrieved July 20, 2018.
  2. Rootkit Hunter Project. (2018, February 20). The Rootkit Hunter project. Retrieved April 9, 2018.
  3. Murilo, N., Steding-Jessen, K. (2017, August 23). Chkrootkit. Retrieved April 9, 2018.
  4. Microsoft. (2015, June 9). Windows 10 to offer application developers new malware defenses. Retrieved February 12, 2018.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.