# MITRE ATT&CK Примеры Краткое описание тактик и техник матрицы [MITRE ATT&CK](https://attack.mitre.org/) с небольшими примерами. ### Структура документа **Тактика** - большим шрифтом **Техник (вольный перевод)** - шрифтом поменьше Внутри технкии: 1. **Описание** - что это за штука такая. 2. **Риск** - какие последствия могут быть. 3. **Смягчение** - что делать, чтобы уменьшить последствия или предотвратить их. 4. **Обнаружение** - как или чем детектить. 5. **Пример** - прикладной пример как допустить такую досадную оплошность. ## Initial Access (Первоначальный доступ) ### [Drive-by Compromise](https://attack.mitre.org/techniques/T1189/) (Компрометация) #### Описание Атаки на браузер с помощью внедрения js, iframe, xss. с целью кражи токенов и сессий #### Риск Можно украсть токен жертвы, перенаправить жертву на вредоносный сайт. #### Смягчение Не давать запускать js, песочницы #### Обнаружение Проверять куда ведут URL-адреса #### Пример Хранимая **xss** или **DOM based xss** ### [Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190/) (Эксплуатация публичного приложения) #### Описание Эксплуатация уязвимостей и cve web-приложений, баз данных, smb, ssh в общем всё, что в сеть смотрит и имеет логику #### Риск Можно вызвать непреднамеренное поведение приложения и получить доступ. #### Смягчение Обновлять по, настроить waf, изолировать приложения, регулярно сканить инфру. #### Обнаружение Заметить можно в логах системы и сетевом трафике. #### Пример Тут много: [OWASP top 10](https://owasp.org/www-project-top-ten/), [CVE top 25](https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html) ### [External Remote Services](https://attack.mitre.org/techniques/T1133/) (Внешние удаленные службы) #### Описание Атаки на службы удалённого доступа с целью получения доступа к внутрянке. #### Риск Получение доступа к ОС или Кубу. #### Смягчение Добавить мултифактор, разграничить доступ, сегментировать сеть, удалить если не надо. #### Обнаружение Курить логи хостов и сети, детектить аномалии по обращению к API или приложухам. #### Пример Логин:пароль спиздили и теперь ходят по впн как у себя дома. Докер API торчит наружу и теперь у хакеров рут. ### [Phishing](https://attack.mitre.org/techniques/T1566/) (Фишинг) #### Описание Рассылка всяких вредоносов по почте и в лс, короче соц. инженерия. #### Риск Доступ к хосту жертвы и дальнеёшее распространение от её имени. #### Смягчение Антивирус, песочницы для писем, фильтровать скачивание .exe, учить сторудников, добавить механизмы проверки подлинности почты. #### Обнаружение IDS, Проверять URL в письмах, проверять SSL/TLS сигнатуры, антивирус может алертить. #### Пример Бот, который запускает вложения скаченное с почты ### [Supply Chain Compromise](https://attack.mitre.org/techniques/T1195/) (Компрометация cd) #### Описание Внедрение своего кода на разных этапах конвейера доставки приложения до пользователя. #### Риск Доступ к хостам пользователей продукта #### Смягчение Сканировать уязвимости на этапе разработки, DevSecOps #### Обнаружение Всяческие сканеры и анализаторы зависимостей #### Пример Украсть учётку гита, залить бэкдор и ждать пока сбилдится ### [Trusted Relationship](https://attack.mitre.org/techniques/T1199/) (Доверительные отношения) #### Описание Получения доступа к инфре через другую организацию. Например, компания, которая управляет инфрой ИБ, имеет впн к заказчику, через этот впн и пойдут хакеры. Пришла беда откуда не ждали #### Риск Опять получили доступ ко всему что только можно #### Смягчение Сегментация сети, следить за учётками. #### Обнаружение Смотреть логи входа в систему, следить за поведением учёток. #### Пример ВПН с кредами для другой компании ### [ Valid Accounts ](https://attack.mitre.org/techniques/T1078/) (Действующие учетные записи ) #### Описание Украдены учётки для доступам к VPN, Outlook и другим внутренним серисам. Здесь же могут быть и различные API токены и ключи доступа. #### Риск Доступ к внутренним сервисам, кража инфы и дальнейшее продвижение #### Смягчение Парольные политики, следить за аккаунтами с повышенными привилегиями, проверять чтобы учётные данные не выкладывали на гит. Опять учить сотрудников, особенно разрабов. #### Обнаружение Смотреть логи входа (/var/log/auth.log) особенно время, искать подозрительные учётки. #### Пример API токен от внутреннего сервиса plain текстом в коде на гите. ## Execution (Исполнение) ## Persistence (Закрепление) ## Privilege Escalation (Повышение Привелегий) ## *Defense Evasion (Обход средств защиты) ## Credential Access (Доступ к учетным данным) ## Discovery (Обнаружение) ## Lateral Movement (Горизонтальное продвижение) ## Collection (Сбор) ## *Exfiltration (?) ## *Command and Control (Командный сервер управления) ## Impact (?)