Attacksteg
Attackstegen nedan beskrivna enligt MITRE ATT&CK®.
MITRE ATT&CK® är en globalt tillgänglig kunskapsbas av motståndares taktik och tekniker baserade på observationer från verkliga världen. ATT&CK-kunskapsbasen används som en grund för utvecklingen av specifika hotmodeller och metoder inom den privata sektorn, inom myndigheter och inom cybersäkerhetsprodukt- och tjänstegemenskapen.
Med skapandet av ATT&CK uppfyller MITRE sitt uppdrag att lösa problem för en säkrare värld — genom att föra samman samhällen för att utveckla mer effektiv cybersäkerhet. ATT&CK är öppet och tillgängligt för alla personer eller organisationer för användning utan kostnad.
Referens för ytterligare detaljering: https://attack.mitre.org/
Attacksteg | Beskrivning |
|---|---|
Spaning | Motståndaren försöker samla information de kan använda för att planera framtida operationer. Spaning består av tekniker som innebär att motståndare aktivt eller passivt samlar in information som kan användas för att stödja inriktning. Sådan information kan inkludera detaljer om offrets organisation, infrastruktur eller personal/personal. Denna information kan utnyttjas av motståndaren för att hjälpa till i andra faser av motståndarens livscykel, som att använda insamlad information för att planera och genomföra Initial Access, för att avgränsa och prioritera mål efter kompromiss, eller för att driva och leda ytterligare spaningsinsatser. |
Resursutveckling | Motståndaren försöker etablera resurser som de kan använda för att stödja operationer. Resursutveckling består av tekniker som involverar motståndare som skapar, köper eller kompromissar/stjäl resurser som kan användas för att stödja inriktning. Sådana resurser inkluderar infrastruktur, konton eller kapacitet. Dessa resurser kan utnyttjas av motståndaren för att hjälpa till i andra faser av motståndarens livscykel, som att använda köpta domäner för att stödja kommando och kontroll, e-postkonton för nätfiske som en del av Initial Access, eller stjäla kodsigneringscertifikat för att hjälpa till med försvarsflykt . |
Initial Åtkomst | Motståndaren försöker komma in i ditt nätverk. Initial Åtkomst består av tekniker som använder olika ingångsvektorer för att få sitt första fotfäste inom ett nätverk. Tekniker som används för att få fotfäste inkluderar riktat spearphishing och utnyttjande av svagheter på webbservrar som är riktade mot allmänheten. Fotfäste som erhållits genom initial åtkomst kan möjliggöra fortsatt åtkomst, som giltiga konton och användning av externa fjärrtjänster, eller kan vara begränsad användning på grund av att lösenorden ändras. |
Exekvering | Motståndaren försöker köra skadlig kod som tex expolits. Exekvering består av tekniker som resulterar i att motståndarkontrollerad kod körs på ett lokalt eller fjärrsystem. Tekniker som kör skadlig kod är ofta ihopkopplade med tekniker från alla andra taktiker för att uppnå bredare mål, som att utforska ett nätverk eller stjäla data. Till exempel kan en motståndare använda ett fjärråtkomstverktyg för att köra ett PowerShell-skript som gör Remote System Discovery. |
Uthållighet | Motståndaren försöker behålla sitt fotfäste. Uthållighet består av tekniker som motståndare använder för att behålla åtkomst till system över omstarter, ändrade referenser och andra avbrott som kan avbryta deras åtkomst. Tekniker som används för beständighet inkluderar alla åtkomst-, åtgärds- eller konfigurationsändringar som låter dem behålla sitt fotfäste på system, till exempel att ersätta eller kapa legitim kod eller lägga till startkod. |
Behörighetseskalering | Motståndaren försöker få behörigheter på högre nivå. Behörighetseskalering består av tekniker som motståndare använder för att få högre behörigheter på ett system eller nätverk. Motståndare kan ofta gå in och utforska ett nätverk med oprivilegierad åtkomst men kräver förhöjda behörigheter för att fullfölja sina mål. Vanliga tillvägagångssätt är att dra fördel av systemsvagheter, felkonfigurationer och sårbarheter. Exempel på förhöjd åtkomst inkluderar: SYSTEM/rotnivå |
Försvarsflykt | Motståndaren försöker undvika att bli upptäckt. Försvarsflykt består av tekniker som motståndare använder för att undvika upptäckt under hela sin kompromiss. Tekniker som används för försvarsflykt inkluderar att avinstallera/inaktivera säkerhetsprogramvara eller fördunkla/kryptera data och skript. Motståndare utnyttjar och missbrukar också betrodda processer för att dölja och maskera sin skadliga programvara. Andra taktikers tekniker är korslistade här när dessa tekniker inkluderar den extra fördelen med att undergräva försvar. |
Autentiseringsåtkomst | Motståndaren försöker stjäla kontonamn och lösenord. Autentiseringsåtkomst består av tekniker för att stjäla referenser som kontonamn och lösenord. Tekniker som används för att få referenser inkluderar keylogging eller referensdumpning. Att använda legitima referenser kan ge motståndare tillgång till system, göra dem svårare att upptäcka och ge möjligheten att skapa fler konton för att nå sina mål. |
Upptäckt | Motståndaren försöker kartlägga din miljö genom att få information genom olika verktyg som finns att tillgå på tex github. Upptäcka består av tekniker som en motståndare kan använda för att få kunskap om systemet och det interna nätverket. Dessa tekniker hjälper motståndare att observera miljön och orientera sig innan de bestämmer sig för hur de ska agera. De låter också motståndare utforska vad de kan kontrollera och vad som finns runt deras ingångspunkt för att upptäcka hur det kan gynna deras nuvarande mål. Inbyggda operativsystemverktyg används ofta för detta mål för informationsinsamling efter kompromiss. |
Lateralrörelsen | Motståndaren försöker röra sig genom din miljö. Lateralrörelse består av tekniker som motståndare använder för att komma in i och kontrollera fjärrsystem på ett nätverk. Att fullfölja sitt primära mål kräver ofta att man utforskar nätverket för att hitta sitt mål och sedan få tillgång till det. Att nå sitt mål innebär ofta att man svänger genom flera system och konton för att vinna. Motståndare kan installera sina egna fjärråtkomstverktyg för att utföra laterala rörelser eller använda legitima referenser med inbyggda nätverks- och operativsystemverktyg, som kan vara smygande. |
Samling | Motståndaren försöker samla in data av intresse för deras mål. Insamling består av tekniker som motståndare kan använda för att samla in information och källorna som information samlas in från som är relevanta för att fullfölja motståndarens mål. Ofta är nästa mål efter att ha samlat in data att stjäla (exfiltrera) data. Vanliga målkällor inkluderar olika enhetstyper, webbläsare, ljud, video och e-post. Vanliga insamlingsmetoder inkluderar att ta skärmdumpar och tangentbordsinmatning. |
Kommando och kontroll | Motståndaren försöker kommunicera med komprometterade system för att kontrollera dem. Kommando och kontroll består av tekniker som motståndare kan använda för att kommunicera med system under deras kontroll inom ett offernätverk. Motståndare försöker vanligtvis efterlikna normal, förväntad trafik för att undvika upptäckt. Det finns många sätt som en motståndare kan etablera kommando och kontroll med olika nivåer av smygande beroende på offrets nätverksstruktur och försvar. |
Exfiltration | Motståndaren försöker stjäla data. Exfiltration består av tekniker som motståndare kan använda för att stjäla data från ditt nätverk. När de väl har samlat in data paketerar motståndare ofta den för att undvika upptäckt när de tar bort den. Detta kan innefatta komprimering och kryptering. Tekniker för att få ut data från ett målnätverk inkluderar vanligtvis att överföra det över deras kommando- och kontrollkanal eller en alternativ kanal och kan även innefatta att sätta storleksbegränsningar på överföringen. |
Påverkan | Motståndaren försöker manipulera, avbryta eller förstöra dina system och data. Påverkan består av tekniker som motståndare använder för att störa tillgängligheten eller äventyra integriteten genom att manipulera affärs- och operativa processer. Tekniker som används för påverkan kan innefatta att förstöra eller manipulera data. I vissa fall kan affärsprocesser se bra ut, men kan ha ändrats för att gynna motståndarnas mål. Dessa tekniker kan användas av motståndare för att fullfölja sitt slutmål eller för att ge skydd för ett sekretessbrott. |