α
αΌααα·ααΆαααΆα’αααααΆα SIEM αααααααΎαααΆααα½α
α αΎα ααααααααΌααααααα ααα» αα·ααα·ααΆαααααΉαααα·ααΆααα α αΎααααααα·ααΈααα
αΆαααααααααααΌαααΆαααα‘αΎααα
ααΎααααΆααα
α»ααααααα αααΆαβααΆβααβααα
ααΆα NTAs ααΈαααααααα ααααααααΎααΆαααΆαα½α NetFlow ααααααααα·ααΆαα ααΆα ααα α α’αααααααααααααααααααααααΈααΈαααΊααΆαα½αααα’αΆα αααααΆαα»ααααααααααΆα ααΆα ααααα α α’ααα»αα αααααααα αΆααα α’αααα―αααααααααααααα·αα»αααααααΆαα’αΆα αααααααααΆααααΆαααααααααααΆαααΆααααα αΆα ααααΎααΌαααααΆααΈαααααααΆαααααΆαααα αα ααααααααααΈαααααααααΆαααΆααααα αΆαααΆαααΎαα‘αΎα αα·ααα·ααΈααΆαααΆαααααααααααΆααΆαααα’ααΆααα
ααΎαααΉααααα αΆαααΈααααααααΎααααΆαα NTA α’αααα’αΆα
ααααΎααααα»ααΆααααααααΆαα α¬αααααααααααΎααααΈαααααα’ααααααααΆααα»αααααΆαααααααΆααααα αΆααααααααααΆααααΆααα’αααααααΆααα·αααααΆαα
αααα»αααΌαααααΆαα
ααααααΉα
α’αααΈααΌαααααΆαα ααααααΉα ATT&CK
MITER ATT&CK ααΊααΆααΌαααααΆαα ααααααΉαααΆααΆααααααααααΌαααΆααααααΎαα‘αΎα αα·αααααΆααααααΆααΈααααα MITER αααααα’ααααΎααΆααα·ααΆααα APTs ααΈαα·ααα·αα ααΆβααΊβααΆβαααα»αβααβαα»αααααΆααααα αα·αβαα αα αααααβαααβααααΎβαααβα’αααβααΆααααα αΆαα αααα’αα»ααααΆαα±ααα’αααααααΆααααααααααα·αα»αααααααΆαααααΈαα»ααα·ααα·ααααααα·ααΆαααΆααΆαααα½αα ααΌαααααΆααα·ααααααααααΌαααΆααααααΈαα₯αααααα αα·ααααααααααααααΆαα½αααΉαα ααααααΉαααααΈαα
ααΌαααααΆααα·ααααααααααααα»αααααΆαααααα ααα½α 12 αααααααΌαααΆααααα ααααΆαααααΆααααΆαααααΆαααΆααααα αΆαααΆαα’ααΈαααΊαα·αα
- ααΆαα αΌαααααΎαααΆαααααΌα;
- ααΆαααααα·ααααα·;
- ααΆαααααα½αααααα½α (ααΆαααααΌ);
- ααΆαααΎαα‘αΎααααα·αααα·;
- ααΆαααΆαααΆαααΆαααααΎα (ααΆαααα α ααααΈααΆαααΆαααΆα);
- ααΆαααα½αααΆαααααααΆααααααΆαα (ααΆαα αΌαααααΎααααααΆααααααΆαα);
- ααΆααα»ααα;
- α αααΆαα αααα»αααα·ααα (α αααΆαα αααααααα);
- ααΆααααααΌααα·αααααα (ααΆααααααΌααα·αααααα);
- αααααΆαα·αααΆαααααααααα;
- ααΆαααΆααααα·αααααα;
- αααααααΆααα
αααααΆαααα»αααααΆαααααααΈαα½αα ααΌαααααΆαα ααααααΉα ATT&CK ααΆααααααΈαα αα αααααααααα½αα’αααααΆααααα αΆαα±αααααααα ααΆαααΌαααααα αααααα½ααααα ααααΆααααΆααα αα α»ααααααααααΆαααΆααααα αΆαα αααααΆααα αα αααααααΌα ααααΆα’αΆα ααααΎαααα»αααααΆααααΆαααααααααααΆ ααΆα’αΆα αααα αα ααΎαααααα·α ααΆα αααΎαα
ααΆααα·αααααΆα’αααΈαα αα αααααααΈαα½αααα½αααΆα:
- α’ααααααααΆα;
- αααααΈαααα»αααααΆααααααααααΆααααΌαααΆαααααΎ;
- α§ααΆα αααααααΆαααααΎααααΆααααααααα»α APT;
- αα·ααΆαααΆαααΆαααααααααΆαααΌα ααΆαααΈααΆαααααΎααααΆααααααααΆ;
- ααΆαααααΆαα’αααΈααΆαααααΎαα
α’αααα―αααααα»ααααα·ααΆαααααααΆαα’αΆα
ααααΎααααΆααα
ααααααΉαααΈααΌαααααΆααα·αααααα ααΎααααΈαααα
ααα
ααΆααααααααααααααΆαα’αααΈαα·ααΈααΆαααααααΆααααα αΆααα
αα
α»αααααα α αΎαααααα·αααΌαααΈα
ααα»α
ααα αααααΎααααααααααα»ααααα·ααΆαααααΆαααααα·αααααΆααα½αα ααΆααααααΉαααΈααααααααααα»α APT ααααα·ααααα·ααΆααα·αααααΆααααα’αΆα
ααααΆαααΆααααααααααααα·αααααααααΆααααΆαααααααααααΆαααααααααααΆααααΆαααααΆαααα αααα
αααα»ααααα½α
α’αααΈ PT Network Attack Discovery
ααΎαααΉααααααα’ααααααααΆαααΆαααααΎααααΆαααα
αα
αααααααΈαααΆααααΈα ATT&CK αααααααΎαααααααα
ααααααααααααΎαααΆαααΆααααα αΆααααααααΎααααΆαααα
αα
ααααα ATT&CK αααααααΎα
αααΆααααααΎαααααααααΎαα‘αΎαααααααα»α
αα ααΈααα ααΆαααααΎαααααΈαααααααα PT NAD αα αααΆααααΈα MITER ATT&CK α ααΌαααΆαααΆαααα ααα ααΌα ααααααΎαααααΎα±ααα’αααααΎαααΆαα αααα»ααααα’α½α ααΆα ααααα‘αααα½αα
ααΆαα αΌαααααΎααααΌα
αα·ααΈααΆαααααα
αΌαααααΎααααΌααα½αααΆααα
αα
ααααααααα»αααΆααααααα
αΌααααααΆααααααααα»αα αα»αα ααααα
ααααα’αααααΆααααα αΆααα
ααααΆααααΆααααααΊααΎααααΈαααααΌαααΌαααααΆααΆααα
ααΆααααααααααααΆααααα αΆα αα·αααΆααΆααΌαααααααΆαααααΆαααααα·ααααα·αααααααααααααααΆα
ααΆααα·ααΆαα ααΆα αααααΈ PT NAD αααα αΆαααΈαα αα αααααα ααα½αααααΆαααΈααααααΆααααΆαααα½αααΆααα·αααα·α αΌαααααΎαααΆαααααΌα:
1. T1189 : drive-by compromise
αα αα ααααααα½αααααααααααααααΎαααα ααααααααααααΎαααα’αααααΆααααα αΆα ααΎααααΈααΆααααααααα·ααΈαα»αααααΆαα’ααΈαααΊαα·α αα·αααα½αααΆααααααΆαααααΆααα αΌαααααΎαααααα·ααΈα
ααΎ PT NAD ααααΎα’αααΈ?α ααααα·αααΎα ααΆα αααααα ααααααα·αααααΌαααΆαα’αα·αααααΈααα PT NAD αααα½ααα·αα·αααααααΉαααΆαααααΆαααααΎααααααααααΆαααΈααα HTTP α ααΆαααααΎαααααΆαααααααΆαααΆαααααααααααα αααα’αα»ααααΆαα±ααα’αααααΆααααα αΆαααααΎαααΆαααΌαααααΆααα ααΆααααα»ααααααα·ααΈαα»αααα PT NAD ααααΎαααΆαααααααααααα αααααααααααααααααααααα·αααααααΎα αααΆααααΆαααα
ααΎαααΈαααααα PT NAD ααααΎαααΆαααααΆαααα αααα αααα»αααα αΆααα»αα α αααΆαα αα·αααΌα ααΆααααααΆααααααααααα½αααααΌαααΆαααααα‘αΎα ααααα·αααΎα’αααααααΎααααΆααααΆαα αΌαααΎαααα αααααααααααααΌαααΆαααα ααα ααααααααααΆαααΆαααααααααααα α αααΎαα
2. T1190 α ααΆααααααααα·ααΈαααααααααα»αααΉαααΆααΆααα
ααΆαααααααααααα ααΆαααΆαααααααααα αααα»αααααΆαααααααα’αΆα α αΌαααααΎααΆαααΈα’ααΈαααΊαα·αα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎααΆααααα½ααα·αα·ααααααΆααααΈααααα ααΎααααΉαααΆααααααα αααααααΆα ααααααααααΆαααααααααΆααα»αααααααααΈα ααΆαα·ααα ααΆαα αααΆαααααα’αα»ααααΆαα±ααα’αααααααΎαααΆαααΆααααα αΆαααΎαααααααααααααααααααααΉαααΆαααααΆααα (CMS) α ααα»α αααααΆαααααααΆαααα§ααααααααααΆα αα·αααΆαααΆααααα αΆαααΎαααΆαααΈααα αα·ααααΆαααΈααα FTP α
3. T1133 α ααααΆααΈα
ααααΆαααΆααααα
α’αααααΆααααα αΆαααααΎααααΆα αΌαααααΎααΈα ααααΆα ααΎααααΈααααΆαααα ααααΆααααααΆαααΆααααα»αααΈααΆααααα α
ααΎ PT NAD ααααΎα’αααΈ?α αααααΆαααααααααααα½αααααΆαααα·ααΈααΆααα·ααααααΆααααα ααααα ααα»ααααααΆααααααααΉαααΆααααααα ααααααααΆα α’αααααααΎααααΆααααααααααα’αΆα ααααα ααΆα α ααΎααααΈαααααααααααααΆααα’αααααα·ααΈααΆαα αΌαααααΎααΈα ααααΆα αα·ααα·αα·αααααΎαααΆαααααα αααΆαααααααα½αααα
4. T1193 α α―αααΆαααααΆαα spearphishing
ααΎααααα»ααα·ααΆαα’αααΈααΆαααααΎα―αααΆαααααΆαααααααααααααΈα
ααΎ PT NAD ααααΎα’αααΈ?α ααΆαααα―αααΆααααααααααααααααα·ααΈα ααΆα ααα α αΎααα·αα·ααααα½αααΆαααααΆααααΉαααΌα ααΆααααααΆααααααααααα½αα α―αααΆααααα’αΆα ααααα·ααααα·ααΆααα αααα»αα―αααΆαααααΆααααααΌαααΆαααααΎααααα αααΆααααααα·ααΆαααΆαα·ααΆααα ααΆα ααααα»αααα αα αααα»αααα·ααΆααΆαααΆααΈααααα ααΆααα·αα·αααααααααααααΌαααΆαα αΆαααα»αααΆαα·αααααααααΈα
5. T1192 α αααααααΆαα spearphishing
ααΆαααααΎααααΆααααααααααα αα αα ααααααααααΆαααααααααΉαα’αααααΆααααα αΆαααααΎα’ααΈααααααααααΆαα½αααΉααααααααα αααα α»α ααΆααααααααα·ααΈααααΆααΆαα ααΆααααα½ααα½ααααααααΆααααααΌαααΆαα’ααααα’ααααααααα ααααααααα’αα»αααααΆαα αααΆααααΆααα’αααααα·ααααααααααααα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎααααααααΆααααααααααααααΎααΌα ααΆααααααΆααααααααααα½αα ααΆα§ααΆα ααα αα αααα»αα ααα»α αααααΆαα PT NAD ααΎαααΎααααααα½ααααααΆαααΆαααααΆαα HTTP ααΆαααααααααααΆαααααααΆααα αααα»ααααααΈα’αΆααααααΆαααααα (phishing-urls)α
ααΆααααααΆααααΆαααααααααααΆααααΈαααααΈααΌα
ααΆααααααΆααααααααααα½α phishing-urls
6. T1199 α ααααΆαααααααααα’αΆα
αα»αα
α·αααααΆαα
ααΆαα αΌααα ααΆαααααααΆααααααααααααααααΆααααααΆααΈααΈααΈααααααααααααααΆααααααΎαααααΆαααααααααα’αΆα αα»αα α·αααααΆαα α’αααααΆααααα αΆαα’αΆα hack α’αααααΆααααα’αΆα αα»αα α·αααααΆα α αΎαααααΆαααα αααααΆαααααα ααΆααααααΆα ααΎααααΈααααΎααΌα αααα αα½αααααααΎααααΆααααΆααααααΆαα VPN α¬ domain trusts αααα’αΆα ααααΌαααΆααααααα’ααααααααΆαααΆααααααΆααα·ααΆαα ααΆα αααα
ααΎ PT NAD ααααΎα’αααΈ?α ααααα·ααΈααΆααααααα·ααΈ αα·ααααααΆαα»αααΆααααααΆαααααα αααα»αααΌαααααΆααα·αααααα ααΌα ααααα’ααααα·ααΆααα»ααααα·ααΆαααααααΆαα’αΆα ααααΎαααααααΎααααΈαααααααααΆααααααΆαα VPN αα½αα±αααααααα α¬ααΆααααααΆααααααααααα αααα»αααΌαααααΆααα·ααααααα
7. T1078 α ααααΈααααΉαααααΌαα
ααΆαααααΎααααΆαααα·αα·ααααααΆαααααααααΆα ααΌαααααΆα α¬ααααααααΆααααΆαα’αα»ααααΆαααΎααααΆααααααΆααααα αα·αααΆααααα»αα
ααΎ PT NAD ααααΎα’αααΈ?α ααΆαααααααααΆααααααΆαααααααααααααααααα·ααΈ HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protocolsα ααΆααΌαα αααααΊααΆααΆαα αΌα ααΆααααααααΆαα αα·ααααααΆααααΆααααααααααΆαααααααααααα ααααα·αααΎαα½αααΆααααΌαααΆαααααΎααααΆαα αα½αααΆααααΌαααΆααααα αΆααα αααα»αααΆααααααααααααΌαααααΆα
ααΆαααααα·ααααα·
αα»αααααΆαααααααααα·ααααα·αα½αααΆααα
αα
ααααααααα’αααααΆααααα αΆαααααΎααΎααααΈααααα·ααααα·ααΌααα
ααΎαααααααααααααααΌαααΆααααααααααα½αα ααΆαααααΎαααΆαααΌαααααΆααΆααα½αα’αααααΆααααα αΆααααααΎαααααααΆα (αα»αααααΆαααααααααΌ) αα·ααααααΈαααΆαα
αΌαααααΎααααααααααΈα
ααααΆααα
ααΎαααααΆααααααααΆααααΈαα
ααΆααααα»αααα·αααα
PT NAD α’αα»ααααΆαα±ααα’αααααααΎαααΆαααααΎααααΆαααα αα αααααα ααα½α 14 αααααααΎαααα’αααααΆααααα αΆαααΎααααΈααααα·ααααα·ααΌαααααΆααΆαα
1. T1191 α CMSTP (αααααα·ααΈααα‘αΎααααααααααααα·ααΈαααααααααααΆαααααΆαα Microsoft)
αα»αααααΆααααααααα’αααααΆααααα αΆααααα αα―αααΆαααα‘αΎα INF αααααΆαααααααα·ααααααααΆααα§αααααααααΎααααΆαα Windows CMSTP.exe (αααααα·ααΈααα‘αΎααααααααααααα·ααΈαααααααααααΆααααααΆαα)α CMSTP.exe ααα―αααΆαααΆαααΆαααΆαααααα α αΎαααα‘αΎαααααααααααΆαααααααααΆααααΆααααααΆααααΈα ααααΆαα ααΆαααααα CMSTP.exe α’αΆα ααααΌαααΆαααααΎααΎααααΈαααα»α αα·αααααα·ααααα·αααααΆααααααααΆααααα (*.dll) α¬ scriptlets (*.sct) ααΈαααΆαααΈαααααΈα ααααΆαα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎααααααααααααααααα·ααΌαααΆααααααα―αααΆα INF αααααααα·ααααα αααα»αα ααΆα α HTTP α ααααααααΈααΎααα ααΆααααΎαααΆααααααΌα HTTP ααα’ααααααααΆααΆα αα·ααααααΆααααααααΆαααααααΈαααΆαααΈαααααΈα ααααΆαα
2. T1059 α α
ααα»α
αααααΆαααααααΆααααΆααααααααΆ
α’ααααααααααΆαα½αα ααα»α αααααΆαααααααΆααααΆααααααααΆα α ααα»α αααααΆαααααααΆααααΆααααααααΆα’αΆα ααααΌαααΆαααααΎα’ααααααααααΆαα½αααΌαααααΆα α¬ααΈα ααααΆα α§ααΆα ααααααααααΎα§αααααααααΎααααΆααααΈα ααααΆαα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎααααααααααααααααα·ααΌαααααααΆαααααααα αααααα’ααααΎααΆαααααΎααααα ααΉαααΆααααααααΆ ααΎααααΈααΎαααααΎαααΆαα§αααααααααΎααααΆαααααααΆααααΆααααααααΆαααααα ααΌα ααΆ ping, ifconfig α
3. T1175 α ααααΌααααα»ααΆαα»αααα αα·αα
ααα
αΆα COM
ααΆαααααΎααααΆαααα αα αααα·ααααΆ COM α¬ DCOM ααΎααααΈααααα·ααααα·ααΌααα ααΎααααααααααΌαααααΆα α¬ααΈα ααααΆα αααααααααα»αααααΎααααΎαααααααΆαααααααΆαα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎαααΆαα α DCOM αα½αα±αααααααα αααα’αααααΆααααα αΆαααααΎααΆααααααΆ ααΎααααΈα αΆααααααΎααααααα·ααΈα
4. T1203 α ααΆαααααααααααα
αααααΆααααΆαααααα·ααααα·α’αα·αα·αα
ααΆαααααααααααα ααΆαααΆαααααααα ααΎααααΈααααα·ααααα·ααΌαααααΆαααΎααααΆααΈαααΆαααΆαα ααΆαααααααααααα ααααΆααααααααααααα»ααααααΆααα’αααααΆααααα αΆα ααΊααΆααΌααααα’αα»ααααΆαα±ααααααα·ααααα·ααΌααα ααΎααααααααααΈα ααααΆα αααααΆααα½αααα’αΆα α’αα»ααααΆαα±ααα’αααααΆααααα αΆαα αΌαααααΎαααααααααααα αα αα ααααααααα’αΆα ααααΌαααΆαα’αα»αααααααααααΎαα·ααΈααΆαααααααΌα ααΆααααααα ααΆαααααΎαααα»ααααααααΆααααα·αα’αΆααααα ααα ααααααααααΆαααΆαααααααααααα αααααααααα·ααΈαα»αααααΆαα’ααΈαααΊαα·α αα·αααΆαααααααααααα ααΈα ααααΆαααααΆαααΆαααααααααααααααα·ααΈα
ααΎ PT NAD ααααΎα’αααΈ?α αα ααααααα ααΆα ααααα»ααα PT NAD αα·αα·αααααΆαααααΆααααααααΆαααα―αααΆααααα’αΆα ααααα·ααααα·ααΆααα αααα»αα―αααΆαααααΆααα ααΆαααα―αααΆαααΆαα·ααΆααααααααααααααααααα·ααΈα’ααΈααααααα’αΆα ααΆαααΆαααααααααααα α ααΆαααααΆααΆαααΆαααααΆαααΆααααααααα’αΆα ααΎαααΎααα αααα»αα ααΆα ααα ααα PT NAD ααααΎααααααααααααααααα·α
5. T1170 α mshta
ααααΎα§αααααααααΎααααΆαα mshta.exe αααααααΎαααΆααααααα·ααΈ Microsoft HTML (HTA) ααΆαα½αααΉαααααααααααα .hta α αααααΆααα mshta ααααΎαααΆαα―αααΆααααααααααΆαααααααα»ααααα·ααΆααααααααααα·ααΈαα»αααααΆαα’ααΈαααΊαα·α α’αααααΆααααα αΆαα’αΆα ααααΎ mshta.exe ααΎααααΈααααα·ααααα·α―αααΆα HTA, JavaScript α¬ VBScript αααααΆααααα·αα’αΆαααααα
ααΎ PT NAD ααααΎα’αααΈ?: α―αααΆα .hta αααααΆααααααα·ααααα·ααΆαααα mshta ααααααΌαααΆααααααΌαααΆααααααΆαααααα - αααα’αΆα ααααΌαααΆαααααΎαααΎααα αααα»αα ααΆα αααα PT NAD ααααΎαααΆααααααα―αααΆαααααΆααΆααααααααααααααααααααααα·α ααΆα αΆααααα―αααΆα α αΎαααααααΆαα’αααΈαα½αααΆα’αΆα ααααΌαααΆαααΎααα αααα»αααΆαααααα
6. T1086 α PowerShell
ααΆαααααΎααααΆαα PowerShell ααΎααααΈαααααααααααααΆα αα·αααααΎαααΆαααΌαααααΆααΆαα
ααΎ PT NAD ααααΎα’αααΈ?α αα αααααα PowerShell ααααΌαααΆαααααΎαααα’αααααΆααααα αΆαααΈα ααααΆα PT NAD ααααΎαααΆαααααααΎα αααΆααα ααΆααααΎαααΆααααααααΉαααΆααΆ PowerShell αααααααΌαααΆαααααααΎααΉαααΆαααααα»ααα αααα»αααααααΈαααααΆααΆα αα·αααΆααααααΌαααααααΈα PowerShell ααΎαα·ααΈααΆα SMB α
7.
ααΆαααααΎααααΆαα Windows Task Scheduler αα·αα§αααααααααΎααααΆαααααααααα ααΎααααΈααααΎαααΆααααααα·ααΈ α¬ααααααΈααααααααααααααααα·αα
αααααΆααααΆααα
ααΎ PT NAD ααααΎα’αααΈ?α α’αααααΆααααα αΆααααααΎααα·α αα ααΆααααααα ααΆααααααΆααΈα ααααΆα αααααΆααααααΆ ααααααααααα’αΆα ααΎαααΎααα αααα»αα ααΆα αααα PT NAD ααααΎααααααααααααααααα·ααΌαααΆααααααΎαααΆαααΆα αα·αααααα·ααααα·ααΆαααααααααααα½αα±αααααααα αααααααΎα ααα»α αααααΆαα ATSVC αα·α ITaskSchedulerService RPC α
8. T1064 α ααααααΈα
ααΆαααααα·ααααα·ααααααΈαααΎααααΈααααΎααααααααααααα·αααααααααααΆαααααααααααα’αααααΆααααα αΆαα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎαααΆααααααΌαααααααΈααα ααΎαααααΆα αααααΊααΌααααΈαααα»αααααα½αααΆααααΌαααΆαααΆααα±ααααααΎαααΆααααααα ααΆααααΎαααΆαα·ααΆααααααΈααα αααα»αα ααΆα ααααα αα·αααααΎαααΆααααααΌααααααΆαααα―αααΆααααααΆαααααααααααααααααααΌαααααΆαα ααΉαααΆααΆααααααΈαααααααα·ααα
9. T1035 : ααΆαααααα·ααααα·ααααΆαααα
ααααΎαααΆαα―αααΆααααα’αΆα ααααα·ααααα·ααΆα ααΆαααααΆαα ααα»α αααααΆαααααααΆααααΆααααααααΆ α¬ααααααΈααααααααΎα’ααααααααααΆαα½αααααΆααααααΈαααΌ ααΌα ααΆαααααα·ααΈαααααααααααααΆαααα (SCM) α
ααΎ PT NAD ααααΎα’αααΈ?α αα·αα·αααα ααΆα ααα SMB αα·αααααΎαααΆαα αΌαααααΎ SCM ααΆαα½αααΉαα αααΆαααααααΆαααααααΎα ααααΆααααααΌα αα·αα αΆααααααΎαααααΆααααα
αα αα αααααα αΆααααααΎαααααΆααααα’αΆα ααααΌαααΆαα’αα»αααααααααααΎα§αααααααααΎααααΆααααΆαααααα·ααααα·ααΆααααααααΆααΈα ααααΆα PSExec α PT NAD αα·ααΆααα·ααΈααΆα SMB αα·αααααΎαααΆαααααΎααααΆαα PSExec αα ααααααααΆααααΎα―αααΆα PSEXESVC.exe α¬αααααααααΆαααα PSEXECSVC αααααααΆαααΎααααΈααααα·ααααα·ααΌααα ααΎαααΆαααΈαααΈα ααααΆαα α’αααααααΎααααΆααααααΌααα·αα·αααααΎααααααΈααΆααααααααΆαααααΆαααααα·ααααα· αα·αααΆαααααα αααΆααααααΆαααααα·ααααα·ααΆααααααααΆααΈα ααααΆαααΈαααΆαααΈαα
ααΆαααΆααααα αΆααα αααα»α PT NAD αααα αΆααα·ααααααα’αααΈαα»αααααΆααααα αα·ααα αα ααααααααααααΎααααααααΆααααΆααααΈα ATT&CK ααΎααααΈα±ααα’αααααααΎααααΆααα’αΆα αααααΈααααΆααααΆαααααΆαααΆααααα αΆααααα’αααααΆααααα αΆααααα»ααααα·ααα ααααα α’αααΈααααα½ααααααα»αααααααα αα·ααα·ααΆαααΆααααααααααααΌαα αΆαααα·ααΆαααΆαα
α
αααΆααααααΈααΈααΆαααααΎααααΆααα§αααααααααΎααααΆαα PSExec ααααΌαααΆαααα αααα’αΆα
αααα αΆαααΈααΆαααα»ααααααΎααααΈααααα·ααααα·ααΆααααααααΆαα
ααΎαααΆαααΈαααΈα
ααααΆα
10. T1072 α αααααα·ααΈααΆααΈααΈααΈ
αα
αα
ααααααααα’αααααΆααααα αΆαα’αΆα
α
αΌαααααΎαααααα·ααΈαααααααααααΈα
ααααΆα α¬ααααααααααΆαααααααΆααααααα·ααΈααΆααΈααααα α αΎαααααΎααΆααΎααααΈααααΎαααΆαααΌαααααΆααΆαα α§ααΆα ααααααααααα·ααΈααααααα SCCM, VNC, TeamViewer, HBSS, Altiris α
ααααα·ααΈααα αα
αα
αααααααΊααΆαααααααααΆαα·ααααααα»αααΆααααααΆααααΆαα½αααΉαααΆαααααΆααααααΌααααααα
ααΆααααΆαααΆαααΈα
ααααΆα α αΎαααΆαααααα ααΆααααααΆααα§αααααααααααΆα
αααΎαααααα·αααΆαααΆαααΆαααΆαααααααααΆαα
αΌαααααΎααΈα
ααααΆααα½αα±ααααααααα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎαααααα·ααααα·ααΆααααααααα·ααΈαααααααααααααααααααααα·αα ααΎαααααΆαα ααΆα§ααΆα ααα α αααΆααααααΌαααΆαααααα‘αΎααααααΆααααααΆααααΆαααααα·ααΈααΆα VNC αα·ααααααααΆααααα EvilVNC Trojan αααααα‘αΎααααΆαααΈααα VNC ααααααααΆαααα ααΎαααΆαααΈαααααααααααααα α αΎαααΎαααααΎαααΆαααΆαααααααααααααααα·α ααΌα ααααΆαααααααα PT NAD ααααΎααα·ααΈααΆα TeamViewer αααααααααααααααα· ααΆαα½αα’ααααα·ααΆα αααααααΎααααα αααααααααααααααααααΆααα’αα αα·ααα·αα·αααααΎαααΆαααααα αααΆαααααααα½αααα
11. T1204 α ααΆαααααα·ααααα·α’αααααααΎααααΆαα
αα αα ααααααααα’αααααααΎααααΆααααααΎαααΆαα―αααΆααααα’αΆα ααΆααα αααααΆαααααα·ααααα·ααΌαα ααΆα’αΆα ααΆα§ααΆα ααα ααααα·αααΎααΆααααΎαα―αααΆααααα’αΆα ααααα·ααααα·ααΆα α¬ααααΎαααΆαα―αααΆαααΆαα·ααΆαααααΆαα½ααααΆααααΌα
ααΎ PT NAD ααααΎα’αααΈ?α ααΎαα―αααΆααααααααα ααααΆααααΆαααααα αα»αααααα½αααΆααααΌαααΆαααΆααα±ααααααΎαααΆαα ααααααΆαα’αααΈαα½αααΆα’αΆα ααααΌαααΆααα·ααααΆαα αααα»αααΆαααααααααααα½αααααααΌαααΆααααααΌαα
12. T1047 α α§ααααααααααααααααΈαααΌ
ααΆαααααΎααααΆααα§ααααα WMI ααααααααααΌαααΆαα αΌαααααΎααΌαααααΆα αα·αααΈα ααααΆααα ααΆαααααΆαααΆαα»ααααααααααΈαααΌα αααααααΎ WMI α’αααααΆααααα αΆαα’αΆα ααααΎα’ααααααααααΆαα½ααααααααααααα»ααααα»α αα·αααΈα ααααΆα α αΎαα’αα»ααααααΆαααΆαααΆα αααΎαααΌα ααΆααΆααααααΌαααααααΆααααααΆαααααααααααααααααΆααα αα·αααααΎαααΆαααααΎαααΆαααΈα ααααΆα αααααααααααααΆααααΈαα ααααααααα
ααΎ PT NAD ααααΎα’αααΈ?α αααααΆαα’ααααααααααΆαα½αααααααααααΈα ααααΆαααΆαααα WMI α’αΆα ααΎαααΎααα αααα»αα ααΆα ααα PT NAD ααααΎαααααΎαααααΆααααααααααααααααα·ααΎααααΈαααααΎααααα WMI αα·ααα·αα·αααα ααΆα ααααααααΆααααααααΈααααααααΎ WMI α
13. T1028 α Windows Remote Management
ααΆαααααΎααααΆααααααΆαααα Windows αα·ααα·ααΈααΆααααα’αα»ααααΆαα±ααα’αααααααΎααααΎα’ααααααααααΆαα½αααααααααααΈα ααααΆαα
ααΎ PT NAD ααααΎα’αααΈ?α ααΎαααΎαααΆααααααΆαααααααΆααααααΆααααααΎαα‘αΎααααααααΎααΆααααααααααααΈα ααααΆαααααααΈαααΌα ααααααααααααααΌαααΆαααααΎααααααααααααααααα·αααα αααΆααα
14. T1220 α ααααΎαααΆαααααααΈα XSL (Extensible Stylesheet Language)
ααΆααΆαααααΆαααα ααΆααααα XSL ααααΌαααΆαααααΎααΎααααΈαα·αααααΆα’αααΈααααΎαααΆα αα·αααΆαααΎαααΎααα·αααααααα αααα»αα―αααΆα XML α ααΎααααΈααΆααααααααα·ααααα·ααΆααααα»αααααααΆα αααααααΆα XSL αα½ααααα αΌαααΆαααΆαααααααααΆααααααααΈααααααΆαααααααααΆααΆααΆααααααα ααΆααΆααΆαααααα’αα»ααααΆαα±ααααααα·ααααα·ααΌαααααΆααααααΆααα αααααΆααααααααααΆααααα»ααααα·ααΆααααααα’ααααΎαααααΈαα
ααΎ PT NAD ααααΎα’αααΈ?α ααααΎαααΆααααααα―αααΆααααααααα ααΎαααααΆα αααααΊααΌααααΈαααα»αααααα½αααΆααααΌαααΆαααΆααα±ααααααΎαααΆααααααα ααΆααααΎααααααααααααααααα·ααΌαα―αααΆα XSL αααααααΌαααΆααααααΌαααΆααααααΆα αα·αα―αααΆαααΆαα½αααΉαααΆααααααΆαα XSL αα·αααααααΆα
αα αααα»αα―αααΆαααΆααααααααα ααΎαααΉααα·αα·αααααΎαααΈααααααααααααααα PT Network Attack Discovery NTA ααααααααα»αααααΆααααα αα·ααα αα αααααααΆααααα αΆααααααααααααα’αα»αααααΆα MITER ATT&CK α α αΆαααΎα!
α’ααααα·αααα:
- ααα Anton Kutepov α’αααα―αααααα αααααααααααααα·αα»α PT Expert αα αα αααα·ααααΆαα·αααααΆα
- Natalia Kazankova α’αααααΈααααΆαααα·ααααα Positive Technologies
ααααα: www.habr.com