T1587.004: Эксплойты

Злоумышленники могут разрабатывать эксплойты, чтобы использовать их для атак. Эксплойт полагается на ошибку или уязвимость, чтобы вызвать непредусмотренное поведение аппаратного или программного обеспечения компьютера. Вместо поиска или покупки эксплойтов в интернете и последующего их изменения под свои нужды, злоумышленник может разработать их самостоятельно. Эксплуатируя уязвимости, злоумышленники могут собирать информацию для разработки дальнейших эксплойтов. При разработке эксплойтов злоумышленники могут выявлять уязвимости целевой системы с помощью таких методов, как фаззинг и анализ исправлений.

Создание эксплойтов, как и легитимного ПО, требует от авторов наличия различных навыков. Злоумышленники могут уже обладать необходимыми навыками или пользоваться услугами специалистов. Эксплойт, создаваемый при участии внешних подрядчиков, может считаться инструментом определенной группы злоумышленников, если она участвует в формировании требований и сохраняет часть эксклюзивных прав на него.

Злоумышленники могут использовать эксплойты на различных этапах атак (см. такие техники, как Недостатки в общедоступном приложении, Эксплуатация уязвимостей в клиентском ПО, Эксплуатация уязвимостей для повышения привилегий, Эксплуатация уязвимостей для предотвращения обнаружения, Эксплуатация уязвимостей для получения учетных данных, Эксплуатация уязвимостей в удаленных службах и Эксплуатация уязвимостей ПО).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.