МАТРИЦА MITRE ATT&CK v.16

Сбор идентификационных данных работников цели

Сбор информации о сетевой инфраструктуре

Сбор бизнес-информации о цели

Сбор информации об узлах цели

Поиск по общедоступным источникам

Поиск на сайтах, принадлежащих цели

Поиск информации о цели в открытых технических базах данных

Поиск информации о цели в закрытых источниках

Фишинг ради добычи информации

Создание/покупка/аренда инфраструктуры для последующих атак

Компрометация сторонней инфраструктуры

Создание фальшивой учетной записи

Компрометация учетных записей

Расширение/разработка собственных средств

Подготовка необходимых средств

Подготовка инфраструктуры

Использование действительных учетных записей

Распространение с помощью съемных носителей

Использование удаленных сервисов

Теневая загрузка (Drive-by угрозы)

Эксплуатация уязвимостей публичных приложений

Компрометация цепочки поставок

Использование доверенных отношений

Внедрение аппаратных закладок

Фишинг

Вмешательство в Windows Management Instrumentation (WMI)

Вмешательство в работу планировщиков

Вмешательство в интерпретаторы командной строки и сценариев

Использование инструментов развертывания ПО

Взаимодействие с встроенными API

Вмешательство в совместно используемые модули

Использование уязвимостей клиентского приложения

Выполнение пользователем определенных действий

Изменение межпроцессного взаимодействия

Вмешательство в системные сервисы

Использование сервиса управления контейнерами

Использование контейнера

Бессерверное выполнение кода

Использование скриптов инициализации запуска и входа в систему

Создание учетной записи для поддержания доступа в целевой системе

Запуск в приложениях MS Office

Вмешательство в расширения браузера

Использование механизма BITS в Windows

Передача управляющих сигналов в трафике

Вмешательство в компоненты серверного ПО

Внедрение кода в образ

Нарушение механизма загрузки системы

Создание и модификация системных процессов

Запуск вредоносного содержимого на основе специфичных событий

Автозапуск при загрузке или входе в систему

Компрометация бинарных файлов ПО узла

Модификация процесса аутентификации

Перехват процесса исполнения программ

Настройки питания

Внедрение кода в процессы

Эксплуатация уязвимостей для повышения привилегий

Манипуляции с учетной записью

Манипуляции с токенами доступа

Модификация доменных политик

Выход за пределы контерйнера и доступ в хостовую операционную систему

Прямой доступ к диску

Руткит

Обфускация файлов или информации

Маскировка под легального пользователя или инструмент

Удаление индикаторов присутствия

Модификация реестра

Вмешательство в доверенные утилиты для разработки

Деобфускация/декодирование файлов или информации

Непрямое выполнение команд, обходящее механизмы защиты

Поддельный контроллер домена

Эксплуатация уязвимостей для претодвращения обнаржения

Проксирование выполнения через скрипт

Проксирование выполнения через системные бинарные файлы

Внедрение скриптов в XSL-файлы

Инъекция в шаблоны MS Office

Модификация разрешений файлов и каталогов

Использование исполнения Guardrail

Обход песочницы/системы виртуализации

Неиспользуемые/неподдерживаемые регионы у облачного провайдера для обхода обнаружения (AWS/GCP etc)

Использование альтернативного материала для аутентификации

Обход механизмов контроля доверия

Ослабление защиты

Сокрытие следов

Модификация инфраструктуры облачных вычислений

Обход периметра сети

Ослабление шифрования

Модификация образа системы

Создание образа на хосте

Обратная загрузка кода

Обнаружение дебагера

Изменение Plist файлов

Имперсонация

Получение дампа учетных данных

Прослушивание сети

Перехват ввода информации или учетных записей

Перебор паролей (brute force)

Перехват многофакторной аутентификации

Принудительная аутентификация

Эксплуатация уязвимостей для получения учетных данных

Кража токена доступа к приложению

Кража сессионных куки

Незащищенные учетные данные

Обнаружение учетных записей в хранилищах паролей

Создание или кража токена Kerberos

Подделка учетных данных для веб-ресурсов

Отправка большого количество запросов на средство многофакторной аутентификации

Кража или подделка сертификатов для аутентификации

Изучение системных служб

Обнаружение открытого окна приложения

Сбор информации через реестр

Раскрытие параметров конфигурации сети

Обнаружение удаленных систем

Изучение владельца/пользователя системы

Изучение сетевых настроек

Изучение сетевых подключений

Обнаружение процессов

Изучение настроек групп и прав доступа

Изучение информации о системе

Изучение файлов и каталогов

Изучение периферийных устройств

Раскрытие системного времени

Изучение общих сетевых ресурсов

Раскрытие политики генерации и выбора паролей

Изучение закладок в браузере

Сбор информации о доверенных отношениях домена

Изучение используемого программного обеспечения

Сбор данных об облачных сервисах, запущенных в системе

Использование панели управления облачными сервисами

Изучение облачной инфраструктуры

Изучение контейнеров и ресурсов

Обнаружение географического расположения системы

Изучение настроек групповой политики

Обнаружение файлов на облачном хранилище

Изучение драйверов устройств

Изучение журналов

Использование удаленных сервисов

Добавление вредоносного содержания в общедоступное содержимое

Внутренний целевой фишинг

Захват сессий удаленных служб

Перенос инструментов между системами

Сбор данных из локальных систем

Сбор данных со съемных устройств

Сбор данных из общих сетевых дисков

Создание хранилищ промежуточных данных

Захват экрана

Сбор электронной почты

Определение правил пересылки электронной почты

Использование данных буфера обмена

Автоматизированный сбор данных

Захват аудио

Захват видео

Перехват сессии браузера

Сбор данных из хранилищ информации

Доступ к данным в облачном хранилище

Архивирование собранных данных

Сбор данных из хранилища конфигураций

Обфускация данных

Использование запасных каналов

Использование прокси

Коммуникации через съемные устройства

Использование протоколов не прикладного уровня

Использование публичных web сервисов

Множественные каналы управления

Перенос инструментов доступа извне в скомпрометированное окружение

Кодирование данных для усложения обнаружения

Использование ПО для удаленного доступа

Динамические соединение с командными серверами

Использование нестандартных портов

Туннелирование протокола

Шифрование канала

Внедрение вредоносного контекта через трафик

Скрытие инфраструктуры

Выгрузка данных через иные сетевые каналы

Выгрузка данных по расписанию

Ограничение объемов передаваемых данных определенными небольшими порциями

Эксфильтрация по каналу управления

Эксфильтрация через альтернативный протокол

Выгрузка данных через физический носитель

Выгрузка данных в облачный сервис

Использование веб-сервисов для отправки/получения данных с скомпрометированной системы

Уничтожение данных

Шифрование данных как цель атаки

Остановка службы

Препятствование восстановлению системы

Дефейс (подмена страницы сайта)

Заражение низкоуровневого системного программного обеспечения (прошивки)

Несанкционированное использование ресурсов

Реализация отказа в обслуживании на уровне сети

Отказ в обслуживании на конечных устройствах

Отключение/перезагрузка системы

Удаление диска

Манипуляции с данными

Кража денежных средств