T1588.005: Эксплойты

Злоумышленники могут купить, украсть или скачать эксплойты, чтобы использовать их для атак. Эксплойт полагается на ошибку или уязвимость, чтобы вызвать непредусмотренное поведение аппаратного или программного обеспечения компьютера. Вместо разработки собственных эксплойтов злоумышленники могут найти в интернете готовые эксплойты и изменить их под свои нужды либо купить их у поставщиков эксплойтов.

Злоумышленники могут не только скачивать бесплатные эксплойты из интернета, но и приобретать платные эксплойты у третьих лиц. Это могут быть технологические компании, специализирующиеся на разработке эксплойтов, криминальные рынки (которые могут предлагать комплекты эксплойтов) или частные лица. Злоумышленники могут не только покупать эксплойты, но и красть их у третьих лиц, в том числе у других злоумышленников, и переделывать под свои нужды.

Злоумышленники могут следить за форумами поставщиков эксплойтов, чтобы понимать ситуацию как с уже хорошо известными, так и с недавно обнаруженными эксплойтами. Обычно между обнаружением эксплойта и его публикацией проходит какое-то время. Злоумышленники могут атаковать системы специалистов, которые исследуют и разрабатывают эксплойты, чтобы использовать их знания для планирования будущих операций.

Злоумышленники могут использовать эксплойты на различных этапах атак (см. такие техники, как Недостатки в общедоступном приложении, Эксплуатация уязвимостей в клиентском ПО, Эксплуатация уязвимостей для повышения привилегий, Эксплуатация уязвимостей для предотвращения обнаружения, Эксплуатация уязвимостей для получения учетных данных, Эксплуатация уязвимостей в удаленных службах и Эксплуатация уязвимостей ПО).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.