Матрица MITRE ATT&CK

Техника на mitre.org

T1587.001: Вредоносное ПО

Злоумышленники могут разрабатывать вредоносное ПО и его компоненты, чтобы использовать их для атак. Создание вредоносного ПО может включать разработку полезных нагрузок, дропперов, инструментов посткомпрометации, бэкдоров (включая образы с бэкдором), упаковщиков и протоколов связи с командными серверами, а также создание зараженных съемных носителей. Злоумышленники могут разрабатывать вредоносное ПО для поддержки своих операций, создавая средства для контроля над удаленными компьютерами, обхода защиты и выполнения действий после компрометации.

Создание вредоносного ПО, как и легитимного, требует от авторов наличия различных навыков. Злоумышленники могут уже обладать необходимыми навыками или пользоваться услугами специалистов. Вредоносное ПО, создаваемое при участии внешних подрядчиков, может считаться инструментом определенной группы злоумышленников, если она участвует в формировании требований и сохраняет часть эксклюзивных прав на него.

Для некоторых аспектов разработки вредоносного ПО, например создания протокола связи с командным сервером, злоумышленникам может потребоваться дополнительная инфраструктура. Например, вредоносное ПО, которое взаимодействует с Twitter для обмена данными с командным сервером, может использовать веб-сервисы.

Способы обнаружения

ID	DS0004	Источник и компонент данных	Репозиторий вредоносного ПО: Содержимое вредоносного ПО	Описание	По возможности анализируйте вредоносное ПО на наличие в нем признаков, которые могут быть связаны со злоумышленниками и (или) его разработчиками, например используемый компилятор, отладочные артефакты или сходства в коде. Кроме того, можно использовать репозитории вредоносного ПО для обнаружения дополнительных образцов, связанных со злоумышленником, а также выявления повторяющихся с течением времени фрагментов кода.

ID	DS0004	Источник и компонент данных	Репозиторий вредоносного ПО: Метаданные вредоносного ПО	Описание	Отслеживайте контекстные данные полезной нагрузки, такие как время компиляции, хеши файлов, а также "водяные знаки" или другую идентифицируемую информацию о конфигурации. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на этапах деятельности злоумышленников после компрометации.

ID	Источник и компонент данных	Описание
DS0004	Репозиторий вредоносного ПО: Содержимое вредоносного ПО	По возможности анализируйте вредоносное ПО на наличие в нем признаков, которые могут быть связаны со злоумышленниками и (или) его разработчиками, например используемый компилятор, отладочные артефакты или сходства в коде. Кроме того, можно использовать репозитории вредоносного ПО для обнаружения дополнительных образцов, связанных со злоумышленником, а также выявления повторяющихся с течением времени фрагментов кода.
DS0004	Репозиторий вредоносного ПО: Метаданные вредоносного ПО	Отслеживайте контекстные данные полезной нагрузки, такие как время компиляции, хеши файлов, а также "водяные знаки" или другую идентифицируемую информацию о конфигурации. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на этапах деятельности злоумышленников после компрометации.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.