Эксперты ведущего российского ИБ-вендора «Кода Безопасности» опубликовали топ-15 техник по матрице MITRE ATT&CK за три квартала 2024 года. Самыми популярными среди хакеров стали «Изучение системной информации» и «Деобфускация/декодирование файлов или информации».
Использование техники «Изучение системной информации» было зафиксировано 108 раз за рассматриваемый период и «Деобфускация/декодирование файлов или информации» – 84 раза.
Среди других наиболее частых техник, использованных злоумышленниками в I-III кварталах этого года, значатся «Вредоносный файл» и PowerShell. Первая техника предусматривает, что пользователь откроет файл с вредоносным ПО и получит возможность выполнить произвольный код в целевой ИТ-инфраструктуре. Как правило, эта техника реализуется через методы социальной инженерии, например, с помощью схемы FakeBoss. А используя технику PowerShell, злоумышленники пытаются злоупотребить командами и сценариями интерактивного интерфейса командной строки в составе ОС Windows. С помощью PowerShell хакеры могут загружать и запускать файлы из Интернета, запускать команды удаленно или локально, искать необходимую конфиденциальную информацию.
Как отмечают эксперты «Кода Безопасности», характерно, что за первые два квартала наибольшей популярностью пользовались «Изучение системной информации», «Изучение файлов и каталогов» и «Деобфускация/декодирование файлов или информации». За третий квартал злоумышленники чаще прибегали к «Вредоносному файлу» и «PowerShell», это косвенно указывает на то, что полгода хакеры проводили своего рода разведку и по возможности закреплялись в целевой ИТ-инфраструктуре, а со второй половины приступили к реализации атак, которые могут нанести серьезный ущерб.
Среди других наиболее популярных техник стоит выделить «Эксфильтрацию через каналы С2», «Веб-протоколы», «Шифрование данных» и «Фишинг».
Напомним, что недавно «Код Безопасности» запустил специальный общедоступный Сервис моделирования кибератак по матрице MITRE ATT&CK. В нем используются методы машинного обучения и датасет с реальными сценариями кибератак. ИБ-инженеры и аналитики SOC-центров могут воспользоваться сервисом для того, чтобы провести визуализацию характерных действий злоумышленников, оценить уязвимости собственной ИТ-инфраструктуры и сформировать необходимую систему безопасности.