Այս գրառման մեջ մենք ձեզ կպատմենք, թե ինչպես է OceanLotus կիբերխումբը (APT32 և APT-C-00) վերջերս օգտագործել հանրությանը հասանելի շահագործումներից մեկը՝ , Microsoft Office-ի հիշողության վնասման խոցելիություններ և այն, թե ինչպես է խմբի վնասակար ծրագիրը հասնում խոցելի համակարգերում՝ առանց հետք թողնելու։ Հաջորդը, մենք կնկարագրենք, թե ինչպես է 2019 թվականի սկզբից ի վեր խումբն օգտագործել ինքնաարդյունահանվող արխիվներ կոդը գործարկելու համար։
OceanLotus-ը մասնագիտանում է կիբեր լրտեսության մեջ, որի առաջնահերթ թիրախներն են Հարավարևելյան Ասիայի երկրները։ Հարձակվողները կեղծում են փաստաթղթեր՝ պոտենցիալ զոհերի ուշադրությունը գրավելու և նրանց համոզելու համար գործարկել «հետին դուռը», ինչպես նաև աշխատում են գործիքակազմի մշակման վրա։ Խայծեր ստեղծելու համար օգտագործվող մեթոդները տարբեր են՝ կախված հարձակումներից՝ սկսած «կրկնակի ընդլայնմամբ» ֆայլերից, ինքնաարդյունահանվող արխիվներից, մակրո հնարավորություններով փաստաթղթերից մինչև հայտնի շահագործումներ։
Microsoft Equation Editor-ում շահագործում օգտագործելը
2018 թվականի կեսերին OceanLotus-ը արշավ անցկացրեց՝ օգտագործելով CVE-2017-11882 խոցելիությունը։ Կիբերխմբի չարամիտ փաստաթղթերից մեկը վերլուծվել է 360 սպառնալիքների հետախուզության կենտրոնի մասնագետների կողմից (), ներառյալ շահագործման մանրամասն նկարագրությունը։ Ստորև բերված գրառումը ներկայացնում է նման չարամիտ փաստաթղթի ընդհանուր պատկերը։
Առաջին փուլը
Փաստաթուղթը FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) նման է վերը նշված ուսումնասիրության մեջ նշվածին։ Այն հետաքրքիր է, քանի որ թիրախավորում է կամբոջական քաղաքականությամբ հետաքրքրված օգտատերերին (CNRP – Կամբոջայի ազգային փրկության կուսակցություն, լուծարվել է 2017 թվականի վերջին): Չնայած .doc ընդլայնմանը, փաստաթուղթը RTF ձևաչափով է (տե՛ս ստորև նկարը), պարունակում է անցանկալի կոդ և նաև վնասված է։
Նկար 1. «Աղբ» RTF-ում
Չնայած վնասված տարրերի առկայությանը, Word-ը հաջողությամբ բացում է այս RTF ֆայլը։ Ինչպես կարող եք տեսնել նկար 2-ից, 0xC00 offset-ում կա EQNOLEFILEHDR կառուցվածքը, որին հաջորդում է MTEF վերնագիրը, ապա տառատեսակի MTEF գրառումը (Նկար 3):
Նկար 2. FONT գրառման արժեքները
Նկար 3.
Դաշտում կարող է լինել գերլցում անուն, քանի որ դրա չափը չի ստուգվում պատճենելուց առաջ։ Չափազանց երկար անունը խոցելիություն է առաջացնում։ Ինչպես երևում է RTF ֆայլի բովանդակությունից (նկար 0-ում offset 26xC2), բուֆերը լցվում է shellcode-ով, որին հաջորդում է կեղծ հրամանը (0x90) և վերադարձի հասցեն 0x402114. Հասցեն երկխոսության տարր է EQNEDT32.exe, մատնացույց անելով հրահանգին RET. Սա ստիպում է EIP-ին մատնանշել դաշտի սկիզբը։ անուն, որը պարունակում է shellcode։
Նկար 4. Շահագործման shellcode-ի սկիզբը
Հասցե 0x45BD3C Պահպանում է մի փոփոխական, որը դեհղորդված է մինչև այն հասնի ներկայումս բեռնված կառուցվածքի ցուցիչին։ MTEFData. Շելկոդի մնացած մասը գտնվում է այստեղ։
Շելկոդի նպատակն է կատարել բաց փաստաթղթում ներդրված շելկոդի երկրորդ հատվածը։ Նախ, սկզբնական shellcode-ը փորձում է գտնել բաց փաստաթղթի ֆայլի նկարագրությունը՝ անցնելով բոլոր համակարգի նկարագրությունների միջով (NtQuerySystemInformation փաստարկով SystemExtendedHandleInformation) և ստուգելով, թե արդյոք դրանք համընկնում են PID նկարագրող և PID գործընթացը WinWord և արդյոք փաստաթուղթը բացվել է մուտքի դիմակով – 0x12019F.
Հաստատելու համար, որ ճիշտ բռնակը գտնվել է (և ոչ թե մեկ այլ բաց փաստաթղթի բռնակը), ֆայլի պարունակությունը ցուցադրվում է ֆունկցիայի միջոցով։ CreateFileMapping, և shellcode-ը ստուգում է, թե արդյոք փաստաթղթի վերջին չորս բայթերը համընկնում են։yyyy" (Ձվի որսի մեթոդ): Համապատասխանություն գտնելուց հետո փաստաթուղթը պատճենվում է ժամանակավոր թղթապանակում (GetTempPath) Ինչպես ole.dll. Այնուհետև կարդացվում են փաստաթղթի վերջին 12 բայթերը։
Նկար 5. Փաստաթղթի վերջի նշիչներ
32-բիթային արժեք մարկերների միջև AABBCCDD и yyyy – սա հաջորդ shellcode-ի offset-ն է։ Այն կոչվում է ֆունկցիայի միջոցով CreateThread. Նույն shellcode-ը, որը նախկինում օգտագործվել էր OceanLotus խմբի կողմից, արդյունահանվեց։ , որը մենք թողարկեցինք 2018 թվականի մարտին, դեռևս աշխատում է երկրորդ փուլի դամփի համար։
Երկրորդ փուլը
Բաղադրիչների արդյունահանում
Ֆայլերի և գրացուցակների անունները ընտրվում են դինամիկ կերպով։ Կոդը պատահականորեն ընտրում է կատարվող կամ DLL ֆայլի անունը C:Windowssystem32. Այնուհետև այն հարցում է կատարում իր ռեսուրսներին և վերցնում է դաշտը FileDescription որպես թղթապանակի անուն օգտագործելու համար։ Եթե սա չի աշխատում, կոդը պատահականորեն ընտրում է թղթապանակի անունը գրացուցակներից։ %ProgramFiles% կամ C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 կամ syswow64. Եթե գրացուցակն արդեն գոյություն ունի, անվանը կցվում է «NLS_{6 նիշ}»:
ռեսուրսը 0x102 վերլուծվում են, և ֆայլերը տեղադրվում են %ProgramFiles% կամ %AppData%, պատահականորեն ընտրված թղթապանակում։ Ստեղծման ժամանակը փոխվել է՝ նույն արժեքներն ունենալու համար, ինչ kernel32.dll.
Օրինակ, ահա կատարվող ֆայլը ընտրելով՝ ստեղծված թղթապանակը և ֆայլերի ցանկը։ C:Windowssystem32TCPSVCS.exe որպես տվյալների աղբյուր։
Նկար 6. Տարբեր բաղադրիչների արդյունահանում
Ռեսուրսների կառուցվածքը 0x102 կաթիլում բավականին բարդ է: Հակիրճ ասած՝ այն պարունակում է.
— Ֆայլերի անուններ
- Ֆայլերի չափը և բովանդակությունը
— Սեղմման ձևաչափ (COMPRESSION_FORMAT_LZNT1, որն օգտագործվում է ֆունկցիայի կողմից RtlDecompressBuffer)
Առաջին ֆայլը թափվում է որպես TCPSVCS.exe, որը օրինական է AcroTranscoder.exe (ըստ FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Դուք կարող է նկատած լինեք, որ որոշ DLL ֆայլեր 11 ՄԲ-ից մեծ են։ Սա պայմանավորված է նրանով, որ կատարվող ֆայլի ներսում տեղադրված է պատահական տվյալների մեծ շարունակական բուֆեր։ Հնարավոր է, որ սա որոշ անվտանգության արտադրանքի կողմից հայտնաբերումից խուսափելու միջոց է։
Համառության ապահովում
ռեսուրսը 0x101 Դրոպպերը պարունակում է երկու 32-բիթանոց ամբողջ թվեր, որոնք նշում են, թե ինչպես պետք է ապահովվի համառությունը։ Առաջին արժեքը նշում է, թե ինչպես է վնասակար ծրագիրը պահպանելու իր կայունությունը առանց ադմինիստրատորի իրավունքների։
Աղյուսակ 1. Ադմինիստրատորի իրավունքների բացակայության դեպքում պահպանողական մեխանիզմ
Երկրորդ ամբողջ թվի արժեքը սահմանում է, թե ինչպես պետք է վնասակար ծրագիրը ապահովի կայունություն՝ ադմինիստրատորի արտոնություններով աշխատելիս։
Աղյուսակ 2. Ադմինիստրատորի իրավունքներով կայունության մեխանիզմ
Ծառայության անունը ֆայլի անունն է առանց ընդլայնման։ ցուցադրվող անունը թղթապանակի անունն է, բայց եթե այն արդեն գոյություն ունի, դրան կցվում է « տողըRevision 1» (թիվը մեծանում է մինչև չօգտագործված անուն գտնվի): Օպերատորները ապահովել են, որ ծառայության միջոցով կայունությունը կայուն լինի. եթե ծառայությունը ձախողվի, այն պետք է վերագործարկվի 1 վայրկյանից հետո: Այնուհետև արժեքը WOW64 Նոր ծառայության գրանցամատյանի բանալին սահմանված է 4-ի, ինչը նշանակում է, որ այն 32-բիթանոց ծառայություն է։
Պլանավորված առաջադրանքը ստեղծվում է մի քանի COM ինտերֆեյսների միջոցով. ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Հիմնականում, վնասակար ծրագիրը ստեղծում է թաքնված առաջադրանք, սահմանում է հաշվի տեղեկությունները ընթացիկ օգտատիրոջ կամ ադմինիստրատորի տեղեկությունների հետ միասին, ապա սահմանում է ակտիվացուցիչը։
Սա ամենօրյա առաջադրանք է՝ 24 ժամ տևողությամբ և երկու կատարման միջև 10 րոպեանոց ընդմիջումներով, ինչը նշանակում է, որ այն կկատարվի անընդհատ։
Չարամիտ մաս
Մեր օրինակում, կատարվող ֆայլը TCPSVCS.exe (AcroTranscoder.exe)-ը օրինական ծրագիր է, որը բեռնում է դրա հետ միասին հեռացված DLL ֆայլերը։ Այս դեպքում, հետաքրքրականը հետևյալն է. Flash Video Extension.dll.
Դրա գործառույթը DLLMain պարզապես կանչում է մեկ այլ ֆունկցիա։ Կան որոշ անորոշ նախադրյալներ՝
Նկար 7. Անորոշ պրեդիկատներ
Այս մոլորեցնող ստուգումներից հետո կոդը ստանում է բաժին .text ֆայլը TCPSVCS.exe, փոխում է իր պաշտպանությունը դեպի PAGE_EXECUTE_READWRITE և վերագրում է այն՝ ավելացնելով կեղծ հրահանգներ՝
Նկար 8. Հրահանգների հաջորդականություն
Ֆունկցիայի հասցեի վերջում FLVCore::Uninitialize(void), արտահանված Flash Video Extension.dll, հրահանգները ավելացված են CALL. Սա նշանակում է, որ վնասակար DLL ֆայլը բեռնելուց հետո, երբ գործարկման ժամանակը կանչում է WinMain в TCPSVCS.exe, հրահանգի ցուցիչը կցուցադրի NOP-ին, որի արդյունքում կստացվի FLVCore::Uninitialize(void), հաջորդ փուլը։
Ֆունկցիան պարզապես ստեղծում է մուտեքս, որը սկսվում է {181C8480-A975-411C-AB0A-630DB8B0A221}, որին հաջորդում է ընթացիկ օգտատիրոջ անունը։ Այնուհետև այն կարդում է *.db3 ֆայլը, որը պարունակում է դիրքից անկախ կոդ, և օգտագործում է CreateThread բովանդակությունը իրականացնելու համար։
*.db3 ֆայլի պարունակությունը shellcode է, որը սովորաբար օգտագործվում է OceanLotus խմբի կողմից։ Մենք հաջողությամբ վերափաթեթավորեցինք դրա օգտակար բեռը՝ օգտագործելով մեր հրապարակած էմուլյատորի սկրիպտը։ .
Սցենարը արտացոլում է վերջին փուլը։ Այս բաղադրիչը հետին դուռ է, որը մենք արդեն վերլուծել ենք . Սա կարող է որոշվել GUID-ի կողմից։ {A96B020F-0000-466F-A96D-A91BBF8EAC96} երկուական ֆայլ։ Վնասակար ծրագրի կոնֆիգուրացիան դեռևս կոդավորված է PE ռեսուրսում։ Այն ունի մոտավորապես նույն կոնֆիգուրացիան, բայց C&C սերվերները տարբերվում են նախորդներից։
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus խումբը կրկին ցուցադրում է տարբեր տեխնիկաների համադրություն՝ հայտնաբերումից խուսափելու համար։ Նրանք վերադարձան վարակի գործընթացի «վերանայված» դիագրամով։ Պատահական անուններ ընտրելով և կատարվող ֆայլերը պատահական տվյալներով լցնելով՝ նրանք նվազեցնում են հուսալի IoC-ների քանակը (հեշերի և ֆայլերի անունների հիման վրա): Ավելին, երրորդ կողմի DLL բեռնման միջոցով հարձակվողները միայն պետք է ջնջեն օրինական բինար ֆայլը։ AcroTranscoder.
Ինքնաարտահանվող արխիվներ
RTF ֆայլերից հետո խումբը անցավ ինքնաարտահանվող (SFX) արխիվների՝ ընդհանուր փաստաթղթերի պատկերակներով, որպեսզի ավելի շփոթեցնի օգտատիրոջը։ Threatbook-ը գրել է այս մասին ()։ Մեկնարկելուց հետո այն տեղադրում է ինքնաարտահանվող RAR ֆայլերը և գործարկում .ocx ընդլայնմամբ DLL ֆայլեր, որոնց վերջնական բեռնվածությունը նախկինում փաստաթղթավորված էր։ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 թվականի հունվարի կեսերից ի վեր OceanLotus-ը վերօգտագործում է այս տեխնիկան, սակայն ժամանակի ընթացքում փոխելով որոշ կոնֆիգուրացիաներ։ Այս բաժնում մենք կխոսենք տեխնոլոգիաների և փոփոխությունների մասին։
Խայծի ստեղծում
Փաստաթուղթը THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) առաջին անգամ հայտնաբերվել է 2018 թվականին։ Այս SFX ֆայլը ստեղծվել է ինտելեկտով – նկարագրության մեջ (Տարբերակի տեղեկություններ) ասվում է, որ սա JPEG պատկեր է։ SFX սկրիպտը այսպիսի տեսք ունի՝
Նկար 9. SFX հրամաններ
Վնասակար ծրագրերի վերականգնում {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), ինչպես նաև նկար 2018 thich thong lac.jpg.
Խաբեբայի պատկերը այսպիսին է թվում.
Նկար 10. Խայծի պատկեր
Դուք գուցե նկատած լինեք, որ SFX սկրիպտի առաջին երկու տողերը OCX ֆայլը կանչում են երկու անգամ, բայց սա սխալ չէ։
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX ֆայլի կառավարման հոսքը շատ նման է OceanLotus-ի մյուս բաղադրիչներին՝ բազմաթիվ հրամանների հաջորդականություններով։ JZ/JNZ и PUSH/RET, հերթագայելով անցանկալի կոդի հետ։
Նկար 11. Խճճված կոդ
Անցանկալի կոդը զտելուց հետո արտահանել DllRegisterServer, կոչված regsvr32.exe, Ինչպես նշված է հետեւյալում:
Նկար 12. Տեղադրողի հիմնական կոդը
Հիմնականում, առաջին զանգի ժամանակ DllRegisterServer արտահանումը սահմանում է գրանցամատյանի արժեքը HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL-ում կոդավորված օֆսեթի համար (0x10001DE0).
Երբ ֆունկցիան կանչվում է երկրորդ անգամ, այն կարդում է նույն արժեքը և կատարվում է այդ հասցեում։ Այստեղից ռեսուրսը կարդացվում և կատարվում է, և շատ գործողություններ կատարվում են RAM-ում։
Shellcode-ը նույն PE բեռնիչն է, որն օգտագործվել է նախորդ OceanLotus արշավներում։ Այն կարող է ընդօրինակվել՝ օգտագործելով . Վերջիվերջո նա այն գցում է db293b825dcc419ba7dc2c49fa2757ee.dll, բեռնում է այն հիշողության մեջ և կատարում այն DllEntry.
DLL-ը արդյունահանում է իր ռեսուրսի պարունակությունը, վերծանում է այն (AES-256-CBC) և բացում է այն (LZMA): Ռեսուրսն ունի որոշակի ձևաչափ, որը կարող է հեշտությամբ վերակազմավորվել։
Նկար 13. Տեղադրիչի կոնֆիգուրացիայի կառուցվածքը (KaitaiStruct Visualizer)
Կազմաձևումը սահմանված է հստակորեն՝ կախված արտոնության մակարդակից, երկուական տվյալները կգրվեն %appdata%IntellogsBackgroundUploadTask.cpl կամ %windir%System32BackgroundUploadTask.cpl (Կամ SysWOW64 64-բիթային համակարգերի համար):
Հաջորդը, կայունությունն ապահովվում է անունով առաջադրանք ստեղծելով BackgroundUploadTask[junk].jobՈրտեղ [junk] բայթերի հավաքածու է 0x9D и 0xA0.
Առաջադրանքի ծրագրի անվանումը %windir%System32control.exe, իսկ պարամետրի արժեքը ներբեռնված երկուական ֆայլի ուղին է։ Թաքնված առաջադրանքը կատարվում է ամեն օր։
Կառուցվածքային առումով, CPL ֆայլը ներքին անունով DLL ֆայլ է։ ac8e06de0a6c4483af9837d96504127e.dll, որը արտահանում է ֆունկցիան CPlApplet. Այս ֆայլը վերծանում է իր միակ ռեսուրսը {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, այնուհետև բեռնում է այդ DLL-ը և կանչում դրա միակ արտահանումը DllEntry.
Հետևի դռան կարգավորման ֆայլ
Հետևի դռան կոնֆիգուրացիան կոդավորված է և ներդրված է դրա ռեսուրսներում։ Կարգավորման ֆայլի կառուցվածքը շատ նման է նախորդին։
Նկար 14. Հետևի դռան կոնֆիգուրացիայի կառուցվածքը (KaitaiStruct Visualizer)
Նմանատիպ կառուցվածքին չնայած, շատ դաշտերի արժեքները թարմացվել են՝ համեմատած տրամադրված տվյալների հետ։ .
Երկուական զանգվածի առաջին տարրը պարունակում է DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Բայց քանի որ արտահանման անունը հեռացվել է երկուական ֆայլից, հեշերը չեն համընկնում։
Լրացուցիչ հետազոտություն
Նմուշներ հավաքելիս մենք նկատեցինք որոշ առանձնահատկություններ։ Վերջերս նկարագրված նմուշը հայտնվել է մոտավորապես 2018 թվականի հուլիսին, իսկ նմանատիպ այլ նմուշներ՝ ավելի վերջերս՝ 2019 թվականի հունվարի կեսերից մինչև փետրվարի սկիզբը։ Օգտագործված վարակի վեկտորը SFX արխիվ էր, որը տեղակայել էր օրինական խայծային փաստաթուղթ և վնասակար OCX ֆայլ։
Չնայած OceanLotus-ը օգտագործում է կեղծ ժամանակային դրոշմանիշներ, մենք նկատեցինք, որ SFX և OCX ֆայլերի ժամանակային դրոշմանիշները միշտ նույնն են (0x57B0C36A (08/14/2016 @ 7:15 UTC) և 0x498BE80F (համապատասխանաբար՝ 02/06/2009 @ 7:34am UTC): Սա, հավանաբար, ցույց է տալիս, որ հեղինակներն ունեն որոշակի «կոնստրուկտոր», որն օգտագործում է նույն ձևանմուշները և պարզապես փոխում է որոշ բնութագրեր։
2018 թվականի սկզբից մեր կողմից ուսումնասիրված փաստաթղթերի շարքում կան տարբեր անուններ, որոնք ցույց են տալիս հարձակվողների համար հետաքրքրություն ներկայացնող երկրները.
— Կամբոջայի մեդիայի նոր կոնտակտային տվյալները (Նոր).xls.exe
— 李建香 (个人简历).exe (CV-ի կեղծ pdf փաստաթուղթ)
— հետադարձ կապ, Հանրահավաք ԱՄՆ-ում, հուլիսի 28-29, 2018թ.:exe
Հետևի դուռը հայտնաբերելուց ի վեր {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll և մի քանի հետազոտողների կողմից դրա վերլուծության հրապարակումից հետո մենք նկատեցինք որոշ փոփոխություններ վնասակար ծրագրի կազմաձևման տվյալներում։
Սկզբում հեղինակները սկսեցին անունները հեռացնել օժանդակ DLL ֆայլերից (DNSprov.dll և երկու տարբերակ HttpProv.dll)։ Այնուհետև օպերատորները դադարեցրին երրորդ DLL-ի փաթեթավորումը (երկրորդ տարբերակը HttpProv.dll), ընտրելով ներդնել միայն մեկը։
Երկրորդ, հետևի դռան կարգավորման դաշտերի մեծ մասը փոփոխվել է, հավանաբար՝ հայտնաբերումից խուսափելու համար, քանի որ շատ IoC-ներ հասանելի դարձան։ Հեղինակների կողմից փոփոխված կարևոր ոլորտներից մի քանիսը ներառում են.
- AppX գրանցամատյանի բանալին փոխվել է (տե՛ս IoC-ները)
- mutex կոդավորման տող ('def', 'abc', 'ghi')
- նավահանգստի համարը
Վերջապես, վերլուծված բոլոր նոր տարբերակները ներմուծեցին նոր C&C-ներ, որոնք թվարկված են IoCs բաժնում։
Արդյունքները
OceanLotus-ը շարունակում է զարգանալ: Կիբերխումբը կենտրոնացած է իր գործիքների և խայծերի կատարելագործման և ընդլայնման վրա։ Հեղինակները քողարկում են չարամիտ բեռները՝ օգտագործելով աչքի ընկնող փաստաթղթեր, որոնք վերաբերում են նախատեսված զոհերին։ Նրանք մշակում են նոր սխեմաներ և օգտագործում են նաև հանրությանը հասանելի գործիքներ, ինչպիսին է Equation Editor-ի շահագործումը։ Ավելին, նրանք կատարելագործում են գործիքները՝ զոհերի համակարգիչներում մնացած արտեֆակտների քանակը նվազեցնելու համար, այդպիսով նվազեցնելով հակավիրուսային ծրագրաշարի կողմից հայտնաբերման հավանականությունը։
Փոխզիջման ցուցանիշներ
Հասանելի են կոտրման ցուցիչներ և MITRE ATT&CK ատրիբուտներ и .
Source: www.habr.com
