MITRE ATT&CK - Техника Ослабление защиты

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Ослабление защиты

Sub-techniques (9)

ID	Name
.001	Отключение или перенастройка средств защиты
.002	Отключение журналирования событий Windows
.003	Повреждение журнала истории команд
.004	Отключение или перенастройка системного межсетевого экрана
.006	Блокировка сбора признаков активности
.007	Отключение или перенастройка облачного межсетевого экрана
.008	Отключение облачного журналирования
.009	Загрузка в безопасном режиме
.010	Атака через понижение версии

Adversaries may maliciously modify components of a victim environment in order to hinder or disable defensive mechanisms. This not only involves impairing preventative defenses, such as firewalls and anti-virus, but also detection capabilities that defenders can use to audit activity and identify malicious behavior. This may also span both native defenses as well as supplemental capabilities installed by users and administrators. Adversaries could also target event aggregation and analysis mechanisms, or otherwise disrupt these procedures by altering other system components.

ID: T1562

Суб-техники: .001 .002 .003 .004 .006 .007 .008 .009 .010

Тактика(-и): Defense Evasion

Платформы: Containers, IaaS, Linux, macOS, Network, Office 365, Windows

Источники данных: Cloud Service: Cloud Service Disable, Cloud Service: Cloud Service Modification, Command: Command Execution, Driver: Driver Load, Firewall: Firewall Disable, Firewall: Firewall Rule Modification, Process: Process Creation, Process: Process Termination, Script: Script Execution, Sensor Health: Host Status, Service: Service Metadata, Windows Registry: Windows Registry Key Deletion, Windows Registry: Windows Registry Key Modification

Версия: 1.3

Дата создания: 21 Feb 2020

Последнее изменение: 19 Oct 2022

Название	Описание
Примеры процедур
Stuxnet	Stuxnet reduces the integrity level of objects to allow write actions.(Citation: Symantec W.32 Stuxnet Dossier)
Magic Hound	Magic Hound has disabled LSA protection on compromised hosts using `"reg" add HKLM\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 0 /f`.(Citation: DFIR Report APT35 ProxyShell March 2022)

Контрмера	Описание
Контрмеры
User Account Management	Manage the creation, modification, use, and permissions associated to user accounts.
Execution Prevention	Block execution of code on a system through application control, and/or script blocking.
Restrict File and Directory Permissions	Restrict access by setting directory and file permissions that are not specific to users or privileged accounts.
Restrict Registry Permissions	Restrict the ability to modify certain hives or keys in the Windows Registry.

Обнаружение

Monitor processes and command-line arguments to see if security tools or logging services are killed or stop running. Monitor Registry edits for modifications to services and startup programs that correspond to security tools. Lack of log events may be suspicious. Monitor environment variables and APIs that can be leveraged to disable security measures.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.