Тех­ники кибера­так совер­шенс­тву­ются год от года. Если ты инте­ресу­ешь­ся информа­цион­ной безопас­ностью или тру­дишь­ся в этой сфе­ре, важ­но быть в кур­се, каким арсе­налом поль­зуют­ся сов­ремен­ные кибер­прес­тупни­ки. Сегод­ня погово­рим о самых популяр­ных в пос­ледние годы тех­никах и средс­твах хакеров.

Тех­ника кибера­так на компь­ютер­ные сис­темы опре­деля­ет, как дей­ству­ют ата­кующие, и здесь всег­да мож­но при­думать что‑нибудь новень­кое. В той же мат­рице MITRE ATT&CK с 2019 года количес­тво тех­ник из 244 тран­сфор­мирова­лось в 196, но теперь они вклю­чают 411 суб­техник (по сос­тоянию на тре­тий квар­тал 2023 года). То есть общее чис­ло тех­ник фак­тичес­ки уве­личи­лось вдвое. С дру­гой сто­роны, ранее про­торен­ные ата­кующи­ми дорож­ки ник­то не отме­нял. Их тоже активно исполь­зуют, какие‑то чаще, какие‑то чуть реже. Давай поп­робу­ем их отыс­кать.

Для начала покопа­емся в ана­лити­чес­ких отче­тах, опе­риру­ющих TTP, за пос­ледние нес­коль­ко лет. В качес­тве наибо­лее авто­ритет­ных репор­тов мы будем исполь­зовать матери­алы от Red Canary, Trellix, Picus Labs и дру­гих Брай­анов Креб­сов извес­тных на рын­ке ИБ ком­паний, в том чис­ле рос­сий­ских. Нач­нем с 2019 года, для которо­го, прав­да, дос­тупен толь­ко один свод­ный отчет — «Threat detection report. First edition | 2019» от Red Canary. Но с каж­дым годом авто­ритет­ных источни­ков ста­нови­лось все боль­ше, за 2022 год име­ется с десяток пуб­личных репор­тов.

 

Как определялся рейтинг

Пер­вый момент, который пот­ребу­ется учесть: в боль­шинс­тве ана­лити­чес­ких отче­тов уже исполь­зуют­ся агре­гиро­ван­ные показа­тели, которые нуж­но кор­рек­тно сопос­тавлять меж­ду собой. Мы под­счи­таем занима­емые той или иной тех­никой позиции в име­ющих­ся рей­тин­гах. Если мес­та заняты суб­техни­ками, то в рас­чете учтем ту тех­нику, с которой она ассо­цииро­вана.

Нап­ример, тех­ника T1059 Command and Scripting Interpreter за 2022 год триж­ды занима­ла пер­вое мес­то, по одно­му разу вто­рое, третье и девятое мес­та. В ито­ге она воз­гла­вила топ 2022 года.

Ес­ли тебе инте­рес­на тех­ничес­кая сто­рона воп­роса, пояс­ню: мас­сив вход­ных дан­ных из раз­личных отче­тов фор­мировал­ся в руч­ном режиме (соз­давал­ся еди­ный CSV-файл), а уже таб­личные дан­ные ана­лизи­рова­лись с исполь­зовани­ем биб­лиоте­ки Pandas для Python.

 

Динамика с 2019-го по 2022 год включительно

 

2019 год

На­чать сто­ит с того, что клю­чевая проб­лема здесь не толь­ко в нич­тожной выбор­ке из единс­твен­ного отче­та, но и в изме­нении MITRE ATT&CK за это вре­мя. Дело в том, что, как любой «живой» про­ект, мат­рица пос­тоян­но обновля­ется и с 2019 года сме­нила не одну вер­сию. В резуль­тате мне приш­лось руками перема­пить «ста­рые» тех­ники в «новые», а это в том чис­ле пов­лияло на сок­ращение рей­тин­га с десяти позиций до вось­ми. Нам инте­ресен этот топ­чик в пер­вую оче­редь как отправ­ная точ­ка для даль­нейших иссле­дова­ний. Итак, самые популяр­ные тех­ники 2019 года:

  1. T1059 Command and Scripting Interpreter;
  2. T1218 System Binary Proxy Execution;
  3. T1090 Proxy;
  4. T0865 Spearphishing Attachment;
  5. T1036 Masquerading;
  6. T1003 OS Credential Dumping;
  7. T1547 Boot or Logon Autostart Execution;
  8. T1569 System Services.

На что здесь сто­ит обра­тить вни­мание, так это на тех­нику T0865 Spearphishing Attachment, которая была популяр­на у край­не активных на тот момент груп­пировок Carbanak и FIN7, а так­же в рам­ках дру­гих целевых кам­паний, доля которых, по мне­нию ряда иссле­дова­телей, в 2019 году ста­ла пре­вали­рующей. В пос­леду­ющие годы эта тех­ника так­же будет при­сутс­тво­вать на радарах, но уже за пре­дела­ми агре­гиро­ван­ных топ-10.

 

2020 год

На сле­дующий год хит‑парад нем­ного изме­нил­ся:

  1. T1055 Process Injection;
  2. T1574 Hijack Execution Flow;
  3. T1059 Command and Scripting Interpreter;
  4. T1053 Scheduled Task/Job;
  5. T1562 Impair Defenses;
  6. T1134 Access Token Manipulation;
  7. T1021 Remote Services;
  8. T1003 OS Credential Dumping;
  9. T1036 Masquerading;
  10. T1083 File and Directory Discovery.

Здесь, как и в 2019 году, приш­лось учесть вер­сион­ность мат­рицы ATT&CK, но в мень­шем объ­еме.

Это пер­вый год пан­демии корона­виру­са и, как следс­твие, рос­та популяр­ности уда­лен­ной работы. В резуль­тате сре­ди лидеров появи­лась тех­ника T1021 Remote Services. Из осталь­ных тех­ник инте­рес пред­став­ляет T1574 Hijack Execution Flow, которая чаще все­го исполь­зует­ся в сочета­нии c тех­никами T1055 Process Injection и T1053 Scheduled Task/Job, что и под­твержда­ется нашим рей­тин­гом.

 

2021 год

Рей­тинг 2021 года выг­лядит сле­дующим обра­зом:

  1. T1059 Command and Scripting Interpreter;
  2. T1027 Obfuscated Files or Information;
  3. T1218 System Binary Proxy Execution;
  4. T1055 Process Injection;
  5. T1555 Credentials from Password Stores;
  6. T1543 Create or Modify System Process;
  7. T1083 File and Directory Discovery;
  8. T1486 Data Encrypted for Impact;
  9. T1053 Scheduled Task/Job;
  10. T1547 Boot or Logon Autostart Execution.

Вор­вавша­яся в топ тех­ника T1486 Data Encrypted for Impact отра­жает то рекор­дное количес­тво кибера­так с исполь­зовани­ем прог­рамм‑шиф­роваль­щиков, которое было зафик­сирова­но в 2021 году. Свою роль сыг­рала и популя­риза­ция схе­мы «Шиф­роваль­щик как услу­га» (Ransomware as a Service, RaaS) на при­мере сле­дующих вре­донос­ных прог­рамм:

Из инте­рес­ного здесь сле­дует отме­тить тех­нику T1555 Credentials from Password Stores, исполь­зован­ную в одной из самых нашумев­ших кибера­так на цепоч­ку пос­тавок SolarWinds.

 

2022 год

В 2022 году пред­став­лен рас­ширен­ный топ-20, пос­коль­ку это самый инте­рес­ный для нас год и дан­ных было дос­таточ­но для сос­тавле­ния раз­верну­того рей­тин­га.

  1. T1059 Command and Scripting Interpreter;
  2. T1082 System Information Discovery;
  3. T1036 Masquerading;
  4. T1003 OS Credential Dumping;
  5. T1071 Application Layer Protocol;
  6. T1218 System Binary Proxy Execution;
  7. T1083 File and Directory Discovery;
  8. T1588 Obtain Capabilities;
  9. T1047 Windows Management Instrumentation;
  10. T1486 Data Encrypted for Impact;
  11. T1190 Exploit Public-Facing Application;
  12. T1566 Phishing;
  13. T1055 Process Injection;
  14. T1021 Remote Services;
  15. T1098 Account Manipulation;
  16. T1105 Ingress Tool Transfer;
  17. T1110 Brute Force;
  18. T1547 Boot or Logon Autostart Execution;
  19. T1112 Modify Registry;
  20. T1505 Server Software Component.

Здесь есть как уже зна­комые нам «лица», так и нович­ки. Нап­ример, на вто­ром мес­те тех­ника T1082 System Information Discovery, которая поз­воля­ет ата­кующе­му не толь­ко гра­мот­но раз­вить кибера­таку, но и соб­рать дан­ные на будущее, что не может не нас­торажи­вать.

От­метим тех­нику T1190 Exploit Public-Facing Application, заняв­шую 11-е мес­то, но лидиру­ющую на ста­дии Initial Access в 2022-м.

Те­перь мож­но пос­мотреть динами­ку изме­нений в топ-10 за четыре года на условной теп­ловой кар­те, где более «горячие» тех­ники — это соот­ветс­тву­ющие лидеры.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии