🥇ວິທີການລະບົບການວິເຄາະການຈະລາຈອນກວດພົບກົນລະຍຸດແຮກເກີໂດຍໃຊ້ MITER ATT&CK ໂດຍໃຊ້ຕົວຢ່າງຂອງ PT Network Attack Discovery

ອີງຕາມ Verizon, ສ່ວນໃຫຍ່ (87%) ຂອງເຫດການຄວາມປອດໄພຂອງຂໍ້ມູນເກີດຂື້ນໃນເວລາສັ້ນໆ, ແລະສໍາລັບ 68% ຂອງບໍລິສັດມັນໃຊ້ເວລາຫຼາຍເດືອນເພື່ອກວດພົບ. ນີ້ແມ່ນການຢືນຢັນໂດຍ ການຄົ້ນຄວ້າຂອງສະຖາບັນ Ponemonອີງຕາມການທີ່ມັນໃຊ້ເວລາອົງການຈັດຕັ້ງສ່ວນໃຫຍ່ໂດຍສະເລ່ຍຂອງ 206 ວັນເພື່ອຊອກຫາເຫດການ. ອີງຕາມປະສົບການຂອງການສືບສວນຂອງພວກເຮົາ, ແຮກເກີສາມາດຄວບຄຸມໂຄງສ້າງພື້ນຖານຂອງບໍລິສັດເປັນເວລາຫລາຍປີໂດຍບໍ່ໄດ້ຮັບການກວດພົບ. ດັ່ງນັ້ນ, ໃນຫນຶ່ງໃນອົງການຈັດຕັ້ງທີ່ຜູ້ຊ່ຽວຊານຂອງພວກເຮົາສືບສວນເຫດການຄວາມປອດໄພຂອງຂໍ້ມູນ, ມັນໄດ້ຖືກເປີດເຜີຍວ່າແຮກເກີຄວບຄຸມໂຄງສ້າງພື້ນຖານທັງຫມົດຂອງອົງການຈັດຕັ້ງຢ່າງສົມບູນແລະລັກຂໍ້ມູນທີ່ສໍາຄັນຢ່າງເປັນປົກກະຕິ. ສໍາລັບແປດປີ.

ສົມມຸດວ່າທ່ານມີ SIEM ແລ່ນຢູ່ແລ້ວທີ່ເກັບກໍາຂໍ້ມູນບັນທຶກແລະການວິເຄາະເຫດການ, ແລະຊອບແວຕ້ານເຊື້ອໄວຣັສໄດ້ຖືກຕິດຕັ້ງຢູ່ໃນຈຸດສຸດທ້າຍ. ແນວໃດກໍ່ຕາມ, ບໍ່ແມ່ນທຸກສິ່ງທຸກຢ່າງສາມາດກວດພົບໄດ້ໂດຍໃຊ້ SIEM, ຍ້ອນວ່າມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະປະຕິບັດລະບົບ EDR ໃນທົ່ວເຄືອຂ່າຍທັງຫມົດ, ຊຶ່ງຫມາຍຄວາມວ່າ "ຕາບອດ" ຈຸດບໍ່ສາມາດຫຼີກເວັ້ນໄດ້. ລະບົບການວິເຄາະການຈະລາຈອນເຄືອຂ່າຍ (NTA) ຊ່ວຍຈັດການກັບພວກມັນ. ວິທີແກ້ໄຂເຫຼົ່ານີ້ກວດພົບກິດຈະກໍາຂອງຜູ້ໂຈມຕີຢູ່ໃນຂັ້ນຕອນທໍາອິດຂອງການເຈາະເຄືອຂ່າຍ, ເຊັ່ນດຽວກັນກັບໃນລະຫວ່າງການພະຍາຍາມຫາຈຸດຢືນແລະພັດທະນາການໂຈມຕີພາຍໃນເຄືອຂ່າຍ.

ມີສອງປະເພດຂອງ NTAs: ບາງຄົນເຮັດວຽກກັບ NetFlow, ຄົນອື່ນວິເຄາະການຈະລາຈອນດິບ. ປະໂຫຍດຂອງລະບົບທີສອງແມ່ນວ່າພວກເຂົາສາມາດເກັບບັນທຶກການຈະລາຈອນດິບ. ຂໍຂອບໃຈກັບເລື່ອງນີ້, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂໍ້ມູນຂ່າວສານສາມາດກວດສອບຜົນສໍາເລັດຂອງການໂຈມຕີ, ທ້ອງຖິ່ນຂອງໄພຂົ່ມຂູ່, ເຂົ້າໃຈວິທີການໂຈມຕີເກີດຂຶ້ນແລະວິທີການປ້ອງກັນທີ່ຄ້າຍຄືກັນໃນອະນາຄົດ.

ພວກເຮົາຈະສະແດງວິທີການນໍາໃຊ້ NTA ທ່ານສາມາດນໍາໃຊ້ຫຼັກຖານໂດຍກົງຫຼືທາງອ້ອມເພື່ອກໍານົດກົນລະຍຸດການໂຈມຕີທີ່ຮູ້ຈັກທັງຫມົດທີ່ອະທິບາຍໄວ້ໃນພື້ນຖານຄວາມຮູ້. MITER AT&CK. ພວກເຮົາຈະເວົ້າກ່ຽວກັບແຕ່ລະ 12 ຍຸດທະວິທີ, ວິເຄາະເຕັກນິກທີ່ຖືກກວດພົບໂດຍການຈະລາຈອນ, ແລະສະແດງໃຫ້ເຫັນການກວດພົບຂອງພວກເຂົາໂດຍໃຊ້ລະບົບ NTA ຂອງພວກເຮົາ.

ກ່ຽວກັບພື້ນຖານຄວາມຮູ້ ATT&CK

MITER ATT&CK ແມ່ນພື້ນຖານຄວາມຮູ້ສາທາລະນະທີ່ພັດທະນາ ແລະຮັກສາໄວ້ໂດຍບໍລິສັດ MITER ໂດຍອີງໃສ່ການວິເຄາະຂອງ APTs ຊີວິດຈິງ. ມັນເປັນຊຸດຍຸດທະສາດທີ່ມີໂຄງສ້າງແລະເຕັກນິກການນໍາໃຊ້ໂດຍຜູ້ໂຈມຕີ. ນີ້ອະນຸຍາດໃຫ້ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂໍ້ມູນຈາກທົ່ວໂລກເວົ້າພາສາດຽວກັນ. ຖານຂໍ້ມູນໄດ້ຖືກຂະຫຍາຍຢ່າງຕໍ່ເນື່ອງແລະເສີມດ້ວຍຄວາມຮູ້ໃຫມ່.

ຖານຂໍ້ມູນໄດ້ລະບຸ 12 ຍຸດທະວິທີ, ເຊິ່ງແບ່ງຕາມຂັ້ນຕອນຂອງການໂຈມຕີທາງອິນເຕີເນັດ:

ການເຂົ້າເຖິງເບື້ອງຕົ້ນ;
ການປະຕິບັດ;
consolidation (ຄວາມຄົງທົນ);
escalation ສິດທິພິເສດ;
ການປ້ອງກັນການຊອກຫາ (ການຫຼີກເວັ້ນການປ້ອງກັນປະເທດ);
ໄດ້ຮັບຂໍ້ມູນປະຈໍາຕົວ (ການເຂົ້າເຖິງຂໍ້ມູນປະຈໍາ);
ການຂຸດຄົ້ນ;
ການເຄື່ອນໄຫວພາຍໃນ perimeter (ການເຄື່ອນໄຫວຂ້າງຄຽງ);
ການເກັບກໍາຂໍ້ມູນ (ເກັບກໍາຂໍ້ມູນ);
ຄໍາສັ່ງແລະການຄວບຄຸມ;
exfiltration ຂໍ້ມູນ;
ຜົນກະທົບ.

ສໍາລັບແຕ່ລະຍຸດທະວິທີ, ພື້ນຖານຄວາມຮູ້ ATT&CK ລາຍຊື່ເຕັກນິກທີ່ຊ່ວຍໃຫ້ຜູ້ໂຈມຕີບັນລຸເປົ້າຫມາຍຂອງພວກເຂົາໃນຂັ້ນຕອນຂອງການໂຈມຕີໃນປະຈຸບັນ. ເນື່ອງຈາກເຕັກນິກດຽວກັນສາມາດຖືກນໍາໃຊ້ໃນຂັ້ນຕອນຕ່າງໆ, ມັນສາມາດຫມາຍເຖິງການມີສິດເທົ່າທຽມຫຼາຍ.

ລາຍລະອຽດຂອງເຕັກນິກແຕ່ລະປະກອບມີ:

ຕົວລະບຸ;
ບັນຊີລາຍຊື່ຂອງຍຸດທະວິທີທີ່ມັນຖືກນໍາໃຊ້;
ຕົວຢ່າງຂອງການນໍາໃຊ້ໂດຍກຸ່ມ APT;
ມາດຕະການຫຼຸດຜ່ອນຄວາມເສຍຫາຍຈາກການນໍາໃຊ້ຂອງມັນ;
ຂໍ້ສະເຫນີແນະການກວດສອບ.

ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂອງຂໍ້ມູນສາມາດນໍາໃຊ້ຄວາມຮູ້ຈາກຖານຂໍ້ມູນເພື່ອສ້າງໂຄງສ້າງຂໍ້ມູນກ່ຽວກັບວິທີການໂຈມຕີໃນປະຈຸບັນແລະ, ພິຈາລະນານີ້, ສ້າງລະບົບຄວາມປອດໄພທີ່ມີປະສິດທິພາບ. ຄວາມເຂົ້າໃຈວິທີການປະຕິບັດຂອງກຸ່ມ APT ທີ່ແທ້ຈິງຍັງສາມາດກາຍເປັນແຫຼ່ງຂອງສົມມຸດຕິຖານສໍາລັບການຄົ້ນຫາຢ່າງຈິງຈັງສໍາລັບໄພຂົ່ມຂູ່ພາຍໃນ ການລ່າສັດໄພຂົ່ມຂູ່.

ກ່ຽວກັບ PT Network Attack Discovery

ພວກເຮົາຈະກໍານົດການນໍາໃຊ້ເຕັກນິກຈາກ ATT&CK matrix ໂດຍໃຊ້ລະບົບ ການຄົ້ນພົບການໂຈມຕີເຄືອຂ່າຍ PT — ລະບົບເຕັກໂນໂລຊີໃນທາງບວກ NTA, ອອກແບບເພື່ອກວດສອບການໂຈມຕີໃນຂອບເຂດແລະພາຍໃນເຄືອຂ່າຍ. PT NAD ກວມເອົາ, ເຖິງລະດັບທີ່ແຕກຕ່າງ, ທັງ 12 ຍຸດທະວິທີຂອງ MITER ATT&CK matrix. ລາວມີອໍານາດທີ່ສຸດໃນການກໍານົດເຕັກນິກສໍາລັບການເຂົ້າເຖິງເບື້ອງຕົ້ນ, ການເຄື່ອນໄຫວຂ້າງຄຽງ, ແລະຄໍາສັ່ງແລະການຄວບຄຸມ. ໃນພວກເຂົາ, PT NAD ກວມເອົາຫຼາຍກວ່າເຄິ່ງຫນຶ່ງຂອງເຕັກນິກທີ່ຮູ້ຈັກ, ກວດພົບຄໍາຮ້ອງສະຫມັກຂອງພວກເຂົາໂດຍສັນຍານໂດຍກົງຫຼືທາງອ້ອມ.

ລະບົບກວດພົບການໂຈມຕີໂດຍໃຊ້ເຕັກນິກ ATT&CK ໂດຍໃຊ້ກົດລະບຽບການຊອກຄົ້ນຫາທີ່ສ້າງໂດຍທີມງານ ສູນຄວາມປອດໄພຜູ້ຊ່ຽວຊານ PT (PT ESC), ການຮຽນຮູ້ເຄື່ອງຈັກ, ຕົວຊີ້ວັດຂອງການປະນີປະນອມ, ການວິເຄາະເລິກແລະການວິເຄາະຄືນຫລັງ. ການວິເຄາະສະພາບຈະລາຈອນໃນເວລາຈິງລວມກັບການສະທ້ອນຄືນຫຼັງຊ່ວຍໃຫ້ທ່ານສາມາດກໍານົດກິດຈະກໍາອັນຕະລາຍທີ່ເຊື່ອງໄວ້ໃນປະຈຸບັນແລະຕິດຕາມ vectors ການພັດທະນາແລະ chronology ຂອງການໂຈມຕີ.

ທີ່ນີ້ ແຜນທີ່ເຕັມຂອງ PT NAD ກັບ MITER ATT&CK matrix. ຮູບພາບມີຂະຫນາດໃຫຍ່, ດັ່ງນັ້ນພວກເຮົາແນະນໍາໃຫ້ທ່ານເບິ່ງມັນຢູ່ໃນປ່ອງຢ້ຽມແຍກຕ່າງຫາກ.

ການເຂົ້າເຖິງເບື້ອງຕົ້ນ

ມີສິດເທົ່າທຽມການເຂົ້າເຖິງເບື້ອງຕົ້ນປະກອບມີເຕັກນິກການເຈາະເຄືອຂ່າຍຂອງບໍລິສັດ. ເປົ້າໝາຍຂອງຜູ້ໂຈມຕີຢູ່ໃນຂັ້ນຕອນນີ້ແມ່ນເພື່ອສົ່ງລະຫັດອັນຕະລາຍໃຫ້ກັບລະບົບທີ່ຖືກໂຈມຕີ ແລະຮັບປະກັນຄວາມເປັນໄປໄດ້ຂອງການປະຕິບັດຕໍ່ໄປ.

ການວິເຄາະການຈະລາຈອນຈາກ PT NAD ເປີດເຜີຍເຈັດເຕັກນິກສໍາລັບການເຂົ້າຫາເບື້ອງຕົ້ນ:

1. T1189: drive-by compromise

ເຕັກນິກທີ່ຜູ້ຖືກເຄາະຮ້າຍເປີດເວັບໄຊທ໌ທີ່ຖືກນໍາໃຊ້ໂດຍຜູ້ໂຈມຕີເພື່ອຂຸດຄົ້ນຕົວທ່ອງເວັບແລະໄດ້ຮັບ tokens ການເຂົ້າເຖິງແອັບພລິເຄຊັນ.

PT NAD ເຮັດຫຍັງ?: ຖ້າການເຂົ້າຊົມເວັບບໍ່ໄດ້ຖືກເຂົ້າລະຫັດ, PT NAD ກວດສອບເນື້ອຫາຂອງ HTTP server ຕອບສະຫນອງ. ຄໍາຕອບເຫຼົ່ານີ້ປະກອບດ້ວຍການຂູດຮີດທີ່ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີປະຕິບັດລະຫັດທີ່ຕົນເອງມັກພາຍໃນຕົວທ່ອງເວັບ. PT NAD ກວດພົບການຂູດຮີດດັ່ງກ່າວໂດຍອັດຕະໂນມັດໂດຍໃຊ້ກົດລະບຽບການກວດພົບ.

ນອກຈາກນັ້ນ, PT NAD ກວດພົບໄພຂົ່ມຂູ່ໃນຂັ້ນຕອນທີ່ຜ່ານມາ. ກົດລະບຽບແລະຕົວຊີ້ວັດຂອງການປະນີປະນອມຖືກກະຕຸ້ນຖ້າຜູ້ໃຊ້ໄດ້ໄປຢ້ຽມຢາມເວັບໄຊທ໌ທີ່ນໍາລາວໄປຫາເວັບໄຊທ໌ທີ່ມີການຂຸດຄົ້ນຫຼາຍ.

2. T1190: ນຳໃຊ້ແອັບພລິເຄຊັນທີ່ປະເຊີນໜ້າກັບສາທາລະນະ

ການຂຸດຄົ້ນຊ່ອງຫວ່າງໃນການບໍລິການທີ່ສາມາດເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດ.

PT NAD ເຮັດຫຍັງ?: ດໍາເນີນການກວດກາຢ່າງເລິກເຊິ່ງຂອງເນື້ອໃນຂອງແພັກເກັດເຄືອຂ່າຍ, ການກໍານົດອາການຂອງກິດຈະກໍາຜິດປົກກະຕິ. ໂດຍສະເພາະ, ມີກົດລະບຽບທີ່ຊ່ວຍໃຫ້ທ່ານສາມາດກວດພົບການໂຈມຕີໃນລະບົບການຄຸ້ມຄອງເນື້ອຫາທີ່ສໍາຄັນ (CMS), ການໂຕ້ຕອບເວັບໄຊຕ໌ຂອງອຸປະກອນເຄືອຂ່າຍ, ແລະການໂຈມຕີໃນເຄື່ອງແມ່ຂ່າຍເມລແລະ FTP.

3. T1133: ບໍລິການທາງໄກພາຍນອກ

ຜູ້ໂຈມຕີໃຊ້ການບໍລິການເຂົ້າເຖິງທາງໄກເພື່ອເຊື່ອມຕໍ່ກັບຊັບພະຍາກອນເຄືອຂ່າຍພາຍໃນຈາກພາຍນອກ.

PT NAD ເຮັດຫຍັງ?: ເນື່ອງຈາກລະບົບຮັບຮູ້ໂປໂຕຄອນບໍ່ແມ່ນໂດຍຕົວເລກພອດ, ແຕ່ໂດຍເນື້ອໃນຂອງແພັກເກັດ, ຜູ້ໃຊ້ລະບົບສາມາດກັ່ນຕອງການຈະລາຈອນເພື່ອຊອກຫາທຸກເຊດຊັນຂອງໂປໂຕຄອນການເຂົ້າເຖິງທາງໄກແລະກວດສອບຄວາມຖືກຕ້ອງຂອງພວກເຂົາ.

4. T1193: spearphishing attachment

ພວກເຮົາເວົ້າກ່ຽວກັບການສົ່ງໄຟລ໌ແນບ phishing ທີ່ມີຊື່ສຽງ.

PT NAD ເຮັດຫຍັງ?: ສະກັດໄຟລ໌ອັດຕະໂນມັດຈາກການຈະລາຈອນແລະກວດເບິ່ງພວກມັນຕໍ່ກັບຕົວຊີ້ວັດຂອງການປະນີປະນອມ. ໄຟລ໌ທີ່ປະຕິບັດໄດ້ໃນໄຟລ໌ແນບໄດ້ຖືກກວດພົບໂດຍກົດລະບຽບທີ່ວິເຄາະເນື້ອໃນຂອງການຈະລາຈອນທາງໄປສະນີ. ໃນສະພາບແວດລ້ອມຂອງບໍລິສັດ, ການລົງທຶນດັ່ງກ່າວຖືກພິຈາລະນາວ່າຜິດປົກກະຕິ.

5. T1192: spearphishing link

ການນໍາໃຊ້ການເຊື່ອມຕໍ່ phishing. ເຕັກນິກດັ່ງກ່າວກ່ຽວຂ້ອງກັບຜູ້ໂຈມຕີທີ່ສົ່ງອີເມວ phishing ທີ່ມີການເຊື່ອມຕໍ່ທີ່, ເມື່ອຄລິກ, ດາວໂຫລດໂຄງການທີ່ເປັນອັນຕະລາຍ. ຕາມກົດລະບຽບ, ການເຊື່ອມຕໍ່ແມ່ນປະກອບດ້ວຍຂໍ້ຄວາມທີ່ລວບລວມຕາມກົດລະບຽບທັງຫມົດຂອງວິສະວະກໍາສັງຄົມ.

PT NAD ເຮັດຫຍັງ?: ກວດພົບການເຊື່ອມຕໍ່ phishing ໂດຍໃຊ້ຕົວຊີ້ວັດຂອງການປະນີປະນອມ. ຕົວຢ່າງ, ໃນການໂຕ້ຕອບ PT NAD ພວກເຮົາເຫັນກອງປະຊຸມທີ່ມີການເຊື່ອມຕໍ່ HTTP ຜ່ານການເຊື່ອມຕໍ່ລວມຢູ່ໃນບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ phishing (phishing-urls).

ການເຊື່ອມຕໍ່ຜ່ານທາງເຊື່ອມຕໍ່ຈາກລາຍຊື່ຕົວຊີ້ວັດຂອງການປະນີປະນອມ phishing-urls

6. T1199: ຄວາມສໍາພັນທີ່ເຊື່ອຖືໄດ້

ການເຂົ້າເຖິງເຄືອຂ່າຍຂອງຜູ້ຖືກເຄາະຮ້າຍໂດຍຜ່ານບຸກຄົນທີສາມທີ່ຜູ້ຖືກເຄາະຮ້າຍໄດ້ສ້າງຄວາມສໍາພັນທີ່ຫນ້າເຊື່ອຖື. ຜູ້ໂຈມຕີສາມາດ hack ອົງການຈັດຕັ້ງທີ່ເຊື່ອຖືໄດ້ແລະເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍເປົ້າຫມາຍໂດຍຜ່ານມັນ. ເພື່ອເຮັດສິ່ງນີ້, ພວກເຂົາໃຊ້ການເຊື່ອມຕໍ່ VPN ຫຼືຄວາມໄວ້ວາງໃຈຂອງໂດເມນ, ເຊິ່ງສາມາດຖືກກໍານົດໂດຍຜ່ານການວິເຄາະການຈະລາຈອນ.

PT NAD ເຮັດຫຍັງ?: parses application protocols and save the parsed fields into the database , ດັ່ງນັ້ນນັກວິເຄາະຄວາມປອດໄພຂໍ້ມູນສາມາດນໍາໃຊ້ຕົວກອງເພື່ອຊອກຫາການເຊື່ອມຕໍ່ VPN ທີ່ຫນ້າສົງໄສທັງຫມົດຫຼືການເຊື່ອມຕໍ່ຂ້າມໂດເມນໃນຖານຂໍ້ມູນ.

7. T1078: ບັນຊີທີ່ຖືກຕ້ອງ

ການນໍາໃຊ້ຂໍ້ມູນປະຈໍາຕົວມາດຕະຖານ, ທ້ອງຖິ່ນຫຼືໂດເມນສໍາລັບການອະນຸຍາດໃນການບໍລິການພາຍນອກແລະພາຍໃນ.

PT NAD ເຮັດຫຍັງ?: ດຶງຂໍ້ມູນປະຈໍາຕົວໂດຍອັດຕະໂນມັດຈາກ HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protocols. ໂດຍທົ່ວໄປ, ນີ້ແມ່ນການເຂົ້າສູ່ລະບົບ, ລະຫັດຜ່ານແລະສັນຍານຂອງການກວດສອບສົບຜົນສໍາເລັດ. ຖ້າພວກເຂົາຖືກນໍາໃຊ້, ພວກມັນຈະຖືກສະແດງຢູ່ໃນບັດກອງປະຊຸມທີ່ສອດຄ້ອງກັນ.

ການປະຕິບັດ

ກົນລະຍຸດການປະຕິບັດປະກອບມີເຕັກນິກທີ່ຜູ້ໂຈມຕີໃຊ້ເພື່ອປະຕິບັດລະຫັດໃນລະບົບທີ່ຖືກທໍາລາຍ. ການແລ່ນລະຫັດທີ່ເປັນອັນຕະລາຍຊ່ວຍໃຫ້ຜູ້ໂຈມຕີສ້າງການປະກົດຕົວ (ຍຸດທະວິທີຕໍ່ເນື່ອງ) ແລະຂະຫຍາຍການເຂົ້າເຖິງລະບົບຫ່າງໄກສອກຫຼີກໃນເຄືອຂ່າຍໂດຍການຍ້າຍພາຍໃນບໍລິເວນອ້ອມຮອບ.

PT NAD ຊ່ວຍໃຫ້ທ່ານສາມາດກວດພົບການໃຊ້ 14 ເຕັກນິກທີ່ໃຊ້ໂດຍຜູ້ໂຈມຕີເພື່ອປະຕິບັດລະຫັດທີ່ເປັນອັນຕະລາຍ.

1. T1191: CMSTP (ຕົວຕິດຕັ້ງໂປຣໄຟລ໌ Microsoft Connection Manager)

ຍຸດທະວິທີທີ່ຜູ້ໂຈມຕີກະກຽມໄຟລ໌ INF ການຕິດຕັ້ງທີ່ເປັນອັນຕະລາຍພິເສດສໍາລັບ Windows Utility CMSTP.exe (ຕົວຕິດຕັ້ງໂປຣໄຟລ໌ຕົວຈັດການການເຊື່ອມຕໍ່). CMSTP.exe ເອົາໄຟລ໌ເປັນພາລາມິເຕີແລະຕິດຕັ້ງໂປຣໄຟລ໌ບໍລິການສໍາລັບການເຊື່ອມຕໍ່ຫ່າງໄກສອກຫຼີກ. ດັ່ງນັ້ນ, CMSTP.exe ສາມາດຖືກໃຊ້ເພື່ອໂຫລດແລະປະຕິບັດການເຊື່ອມຕໍ່ແບບໄດນາມິກ (*.dll) ຫຼື scriptlets (*.sct) ຈາກເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ.

PT NAD ເຮັດຫຍັງ?: ກວດພົບອັດຕະໂນມັດການໂອນໄຟລ໌ INF ປະເພດພິເສດໃນການຈະລາຈອນ HTTP. ນອກເຫນືອໄປຈາກນີ້, ມັນກວດພົບການສົ່ງຜ່ານ HTTP ຂອງ scriptlets malicious ແລະຫ້ອງສະຫມຸດເຊື່ອມຕໍ່ແບບເຄື່ອນໄຫວຈາກເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ.

2. T1059: ການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງ

ການໂຕ້ຕອບກັບການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງ. ການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງສາມາດພົວພັນກັບທ້ອງຖິ່ນຫຼືຫ່າງໄກສອກຫຼີກ, ສໍາລັບການຍົກຕົວຢ່າງ, ການນໍາໃຊ້ອຸປະກອນການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກ.

PT NAD ເຮັດຫຍັງ?: ກວດພົບການປະກົດຕົວຂອງ shells ໂດຍອັດຕະໂນມັດໂດຍອີງໃສ່ການຕອບສະ ໜອງ ຕໍ່ ຄຳ ສັ່ງເພື່ອເປີດຕົວ utilities ເສັ້ນຄໍາສັ່ງຕ່າງໆ, ເຊັ່ນ: ping, ifconfig.

3. T1175: ຮູບແບບວັດຖຸອົງປະກອບ ແລະແຈກຢາຍ COM

ການນໍາໃຊ້ເຕັກໂນໂລຢີ COM ຫຼື DCOM ເພື່ອປະຕິບັດລະຫັດໃນລະບົບທ້ອງຖິ່ນຫຼືທາງໄກໃນຂະນະທີ່ເຄື່ອນຍ້າຍຜ່ານເຄືອຂ່າຍ.

PT NAD ເຮັດຫຍັງ?: ກວດພົບການໂທ DCOM ທີ່ໜ້າສົງໄສທີ່ຜູ້ໂຈມຕີມັກຈະໃຊ້ເພື່ອເປີດໂປຣແກຣມ.

4. T1203: ການຂູດຮີດສໍາລັບການປະຕິບັດລູກຄ້າ

ການຂູດຮີດຊ່ອງໂຫວ່ເພື່ອປະຕິບັດລະຫັດ arbitrary ໃນ workstation. ການຂຸດຄົ້ນທີ່ເປັນປະໂຫຍດທີ່ສຸດສໍາລັບຜູ້ໂຈມຕີແມ່ນຜູ້ທີ່ອະນຸຍາດໃຫ້ປະຕິບັດລະຫັດໃນລະບົບຫ່າງໄກສອກຫຼີກ, ຍ້ອນວ່າພວກເຂົາສາມາດອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງລະບົບນັ້ນ. ເຕັກນິກສາມາດຖືກປະຕິບັດໂດຍໃຊ້ວິທີການດັ່ງຕໍ່ໄປນີ້: mailing malicious, ເວັບໄຊທ໌ທີ່ມີການຂຸດຄົ້ນຂອງຕົວທ່ອງເວັບ, ແລະການຂູດຮີດຫ່າງໄກສອກຫຼີກຂອງຊ່ອງໂຫວ່ຄໍາຮ້ອງສະຫມັກ.

PT NAD ເຮັດຫຍັງ?: ເມື່ອວິເຄາະການຈາລະຈອນທາງໄປສະນີ, PT NAD ຈະກວດເບິ່ງວ່າມີໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້ຢູ່ໃນໄຟລ໌ແນບ. ສະກັດເອກະສານຫ້ອງການໂດຍອັດຕະໂນມັດຈາກອີເມວທີ່ອາດມີການຂູດຮີດ. ຄວາມພະຍາຍາມທີ່ຈະຂຸດຄົ້ນຊ່ອງຫວ່າງແມ່ນເຫັນໄດ້ໃນການຈະລາຈອນ, ເຊິ່ງ PT NAD ກວດພົບອັດຕະໂນມັດ.

5. T1170: mshta

ໃຊ້ປະໂຫຍດ mshta.exe, ເຊິ່ງໃຊ້ໂປຣແກຣມ Microsoft HTML (HTA) ດ້ວຍນາມສະກຸນ .hta. ເນື່ອງຈາກວ່າ mshta ປະມວນຜົນໄຟລ໌ຂ້າມການຕັ້ງຄ່າຄວາມປອດໄພຂອງຕົວທ່ອງເວັບ, ຜູ້ໂຈມຕີສາມາດໃຊ້ mshta.exe ເພື່ອປະຕິບັດໄຟລ໌ HTA, JavaScript, ຫຼື VBScript ທີ່ເປັນອັນຕະລາຍ.

PT NAD ເຮັດຫຍັງ?: ໄຟລ໌ .hta ສໍາລັບການປະຕິບັດຜ່ານ mshta ຍັງຖືກສົ່ງຜ່ານເຄືອຂ່າຍ - ນີ້ສາມາດເຫັນໄດ້ໃນການຈະລາຈອນ. PT NAD ກວດພົບການໂອນໄຟລ໌ທີ່ເປັນອັນຕະລາຍດັ່ງກ່າວໂດຍອັດຕະໂນມັດ. ມັນບັນທຶກໄຟລ໌, ແລະຂໍ້ມູນກ່ຽວກັບພວກມັນສາມາດເບິ່ງໄດ້ໃນບັດກອງປະຊຸມ.

6. T1086: PowerShell

ການນໍາໃຊ້ PowerShell ເພື່ອຊອກຫາຂໍ້ມູນ ແລະປະຕິບັດລະຫັດອັນຕະລາຍ.

PT NAD ເຮັດຫຍັງ?: ເມື່ອ PowerShell ຖືກໃຊ້ໂດຍຜູ້ໂຈມຕີທາງໄກ, PT NAD ກວດພົບນີ້ໂດຍໃຊ້ກົດລະບຽບ. ມັນກວດພົບຄໍາທີ່ໃຊ້ພາສາ PowerShell ທີ່ຖືກນໍາໃຊ້ຫຼາຍທີ່ສຸດໃນສະຄິບທີ່ເປັນອັນຕະລາຍແລະການສົ່ງສະຄິບ PowerShell ຜ່ານໂປໂຕຄອນ SMB.

7. T1053: ວຽກງານທີ່ກໍານົດໄວ້
ການໃຊ້ Windows Task Scheduler ແລະເຄື່ອງໃຊ້ອື່ນໆເພື່ອແລ່ນໂປຣແກຣມ ຫຼືສະຄຣິບໂດຍອັດຕະໂນມັດໃນເວລາສະເພາະ.

PT NAD ເຮັດຫຍັງ?: ຜູ້ໂຈມຕີສ້າງວຽກງານດັ່ງກ່າວ, ໂດຍປົກກະຕິຈາກໄລຍະໄກ, ຊຶ່ງຫມາຍຄວາມວ່າເຊດຊັນດັ່ງກ່າວຈະເຫັນໄດ້ໃນການຈະລາຈອນ. PT NAD ອັດຕະໂນມັດກວດພົບການສ້າງວຽກທີ່ໜ້າສົງໄສ ແລະການດຳເນີນການດັດແກ້ໂດຍໃຊ້ການໂຕ້ຕອບ ATSVC ແລະ ITaskSchedulerService RPC.

8. T1064: ການຂຽນອັກສອນ

ການປະຕິບັດສະຄຣິບເພື່ອອັດຕະໂນມັດການປະຕິບັດຕ່າງໆຂອງຜູ້ໂຈມຕີ.

PT NAD ເຮັດຫຍັງ?: ກວດພົບການສົ່ງສະຄຣິບຜ່ານເຄືອຂ່າຍ, ນັ້ນແມ່ນ, ເຖິງແມ່ນວ່າກ່ອນທີ່ມັນຈະເປີດຕົວ. ມັນກວດພົບເນື້ອຫາສະຄຣິບໃນການຈະລາຈອນດິບ ແລະກວດພົບການສົ່ງຜ່ານເຄືອຂ່າຍຂອງໄຟລ໌ທີ່ມີສ່ວນຂະຫຍາຍທີ່ສອດຄ້ອງກັບພາສາສະຄຣິບທີ່ນິຍົມ.

9. T1035: ການປະຕິບັດການບໍລິການ

ດໍາເນີນການໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້, ຄໍາແນະນໍາໃນການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງ, ຫຼື script ໂດຍການພົວພັນກັບການບໍລິການ Windows, ເຊັ່ນ: Service Control Manager (SCM).

PT NAD ເຮັດຫຍັງ?: ກວດສອບການຈາລະຈອນ SMB ແລະກວດພົບການເຂົ້າເຖິງ SCM ດ້ວຍກົດລະບຽບການສ້າງ, ການປ່ຽນແປງແລະເລີ່ມຕົ້ນການບໍລິການ.

ເຕັກນິກການເລີ່ມຕົ້ນການບໍລິການສາມາດຖືກປະຕິບັດໄດ້ໂດຍໃຊ້ອຸປະກອນປະຕິບັດຄໍາສັ່ງຫ່າງໄກສອກຫຼີກ PSExec. PT NAD ວິເຄາະໂປໂຕຄອນ SMB ແລະກວດພົບການໃຊ້ PSExec ເມື່ອມັນໃຊ້ໄຟລ໌ PSEXESVC.exe ຫຼືຊື່ບໍລິການ PSEXECSVC ມາດຕະຖານເພື່ອປະຕິບັດລະຫັດໃນເຄື່ອງທາງໄກ. ຜູ້ໃຊ້ຕ້ອງກວດສອບບັນຊີລາຍຊື່ຂອງຄໍາສັ່ງທີ່ຖືກປະຕິບັດແລະຄວາມຖືກຕ້ອງຂອງການປະຕິບັດຄໍາສັ່ງຫ່າງໄກສອກຫຼີກຈາກເຈົ້າພາບ.

ບັດການໂຈມຕີໃນ PT NAD ສະແດງຂໍ້ມູນກ່ຽວກັບຍຸດທະວິທີ ແລະເຕັກນິກທີ່ໃຊ້ຕາມ ATT&CK matrix ເພື່ອໃຫ້ຜູ້ໃຊ້ສາມາດເຂົ້າໃຈໄດ້ວ່າການໂຈມຕີຢູ່ໃນຂັ້ນຕອນໃດ, ເປົ້າໝາຍໃດທີ່ເຂົາເຈົ້າກຳລັງຕິດຕາມ, ແລະມາດຕະການຊົດເຊີຍທີ່ຕ້ອງໃຊ້.

ກົດລະບຽບກ່ຽວກັບການນໍາໃຊ້ຜົນປະໂຫຍດ PSExec ຖືກກະຕຸ້ນ, ເຊິ່ງອາດຈະຊີ້ບອກເຖິງຄວາມພະຍາຍາມທີ່ຈະປະຕິບັດຄໍາສັ່ງໃນເຄື່ອງຫ່າງໄກສອກຫຼີກໄດ້.

10. T1072: ຊອບແວພາກສ່ວນທີສາມ

ເທັກນິກທີ່ຜູ້ໂຈມຕີເຂົ້າເຖິງຊອບແວບໍລິຫານທາງໄກ ຫຼືລະບົບການນຳໃຊ້ຊອບແວຂອງບໍລິສັດ ແລະໃຊ້ມັນເພື່ອແລ່ນລະຫັດທີ່ເປັນອັນຕະລາຍ. ຕົວຢ່າງຂອງຊອບແວດັ່ງກ່າວ: SCCM, VNC, TeamViewer, HBSS, Altiris.
ໂດຍວິທີທາງການ, ເຕັກນິກແມ່ນມີຄວາມກ່ຽວຂ້ອງໂດຍສະເພາະໃນການເຊື່ອມຕໍ່ກັບການຫັນປ່ຽນອັນໃຫຍ່ຫຼວງໄປສູ່ການເຮັດວຽກຫ່າງໄກສອກຫຼີກແລະ, ດັ່ງນັ້ນ, ການເຊື່ອມຕໍ່ຂອງອຸປະກອນເຮືອນຈໍານວນຫລາຍທີ່ບໍ່ມີການປ້ອງກັນຜ່ານຊ່ອງທາງການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກທີ່ຫນ້າສົງໄສ.

PT NAD ເຮັດຫຍັງ?: ອັດຕະໂນມັດກວດພົບການເຮັດວຽກຂອງຊອບແວດັ່ງກ່າວຢູ່ໃນເຄືອຂ່າຍ. ຕົວຢ່າງ, ກົດລະບຽບຖືກກະຕຸ້ນໂດຍການເຊື່ອມຕໍ່ຜ່ານໂປໂຕຄອນ VNC ແລະກິດຈະກໍາຂອງ EvilVNC Trojan, ເຊິ່ງຕິດຕັ້ງເຄື່ອງແມ່ຂ່າຍ VNC ແບບລັບໆຢູ່ໃນໂຮດຂອງຜູ້ຖືກເຄາະຮ້າຍແລະເປີດມັນໂດຍອັດຕະໂນມັດ. ນອກຈາກນີ້, PT NAD ກວດພົບໂປໂຕຄອນ TeamViewer ໂດຍອັດຕະໂນມັດ, ນີ້ຊ່ວຍໃຫ້ນັກວິເຄາະ, ການນໍາໃຊ້ຕົວກອງ, ຊອກຫາກອງປະຊຸມດັ່ງກ່າວທັງຫມົດແລະກວດສອບຄວາມຖືກຕ້ອງຂອງພວກເຂົາ.

11. T1204: ການປະຕິບັດຜູ້ໃຊ້

ເຕັກນິກທີ່ຜູ້ໃຊ້ແລ່ນໄຟລ໌ທີ່ສາມາດນໍາໄປສູ່ການປະຕິບັດລະຫັດ. ນີ້ອາດຈະເປັນຕົວຢ່າງ, ຖ້າລາວເປີດໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້ຫຼືດໍາເນີນການເອກະສານຫ້ອງການທີ່ມີມະຫາພາກ.

PT NAD ເຮັດຫຍັງ?: ເຫັນໄຟລ໌ດັ່ງກ່າວຢູ່ໃນຂັ້ນຕອນການໂອນ, ກ່ອນທີ່ພວກມັນຈະຖືກເປີດຕົວ. ຂໍ້ມູນກ່ຽວກັບພວກເຂົາສາມາດໄດ້ຮັບການສຶກສາຢູ່ໃນບັດຂອງກອງປະຊຸມທີ່ເຂົາເຈົ້າໄດ້ຖືກຖ່າຍທອດ.

12. T1047:Windows Management Instrumentation

ການນໍາໃຊ້ເຄື່ອງມື WMI, ທີ່ສະຫນອງການເຂົ້າເຖິງທ້ອງຖິ່ນແລະຫ່າງໄກສອກຫຼີກກັບອົງປະກອບລະບົບ Windows. ການນໍາໃຊ້ WMI, ຜູ້ໂຈມຕີສາມາດພົວພັນກັບລະບົບທ້ອງຖິ່ນແລະຫ່າງໄກສອກຫຼີກແລະປະຕິບັດວຽກງານທີ່ຫຼາກຫຼາຍ, ເຊັ່ນ: ການລວບລວມຂໍ້ມູນເພື່ອຈຸດປະສົງການສອດແນມແລະການເປີດຕົວຂະບວນການຫ່າງໄກສອກຫຼີກໃນຂະນະທີ່ເຄື່ອນຍ້າຍທາງຂ້າງ.

PT NAD ເຮັດຫຍັງ?: ເນື່ອງຈາກການໂຕ້ຕອບກັບລະບົບຫ່າງໄກສອກຫຼີກຜ່ານ WMI ແມ່ນເຫັນໄດ້ໃນການຈະລາຈອນ, PT NAD ຈະກວດພົບການຮ້ອງຂໍເຄືອຂ່າຍໂດຍອັດຕະໂນມັດເພື່ອສ້າງຕັ້ງກອງປະຊຸມ WMI ແລະກວດເບິ່ງການຈະລາຈອນສໍາລັບສະຄິບທີ່ໃຊ້ WMI.

13. T1028: Windows Remote Management

ການນໍາໃຊ້ບໍລິການ Windows ແລະອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດພົວພັນກັບລະບົບຫ່າງໄກສອກຫຼີກ.

PT NAD ເຮັດຫຍັງ?: ເຫັນການເຊື່ອມຕໍ່ເຄືອຂ່າຍທີ່ສ້າງຂຶ້ນໂດຍໃຊ້ Windows Remote Management. ກອງປະຊຸມດັ່ງກ່າວຖືກກວດພົບໂດຍອັດຕະໂນມັດໂດຍກົດລະບຽບ.

14. T1220: XSL (Extensible Stylesheet Language) ການປະມວນຜົນສະຄຣິບ

ພາສາມາກອັບແບບ XSL ຖືກໃຊ້ເພື່ອອະທິບາຍການປະມວນຜົນ ແລະການສະແດງຂໍ້ມູນໃນໄຟລ໌ XML. ເພື່ອສະຫນັບສະຫນູນການດໍາເນີນງານທີ່ສັບສົນ, ມາດຕະຖານ XSL ປະກອບມີການສະຫນັບສະຫນູນ scripts ຝັງຢູ່ໃນພາສາຕ່າງໆ. ພາສາເຫຼົ່ານີ້ອະນຸຍາດໃຫ້ປະຕິບັດລະຫັດ arbitrary, ເຊິ່ງນໍາໄປສູ່ການ bypass ຂອງນະໂຍບາຍຄວາມປອດໄພໂດຍອີງໃສ່ບັນຊີລາຍຊື່ສີຂາວ.

PT NAD ເຮັດຫຍັງ?: ກວດພົບການໂອນໄຟລ໌ດັ່ງກ່າວຜ່ານເຄືອຂ່າຍ, ນັ້ນແມ່ນ, ເຖິງແມ່ນວ່າກ່ອນທີ່ພວກມັນຈະຖືກເປີດຕົວ. ມັນອັດຕະໂນມັດກວດພົບໄຟລ໌ XSL ທີ່ຖືກສົ່ງຜ່ານເຄືອຂ່າຍແລະໄຟລ໌ທີ່ມີເຄື່ອງຫມາຍ XSL ຜິດປົກກະຕິ.

ໃນເອກະສານຕໍ່ໄປນີ້, ພວກເຮົາຈະເບິ່ງວິທີການທີ່ລະບົບ PT Network Attack Discovery NTA ຊອກຫາກົນລະຍຸດແລະເຕັກນິກຂອງຜູ້ໂຈມຕີອື່ນໆຕາມ MITER ATT&CK. ຕິດຕາມຢູ່!

ຜູ້ຂຽນ:

Anton Kutepov, ຜູ້ຊ່ຽວຊານຢູ່ສູນຄວາມປອດໄພຜູ້ຊ່ຽວຊານ PT, ເຕັກໂນໂລຢີໃນທາງບວກ
Natalia Kazankova, ນັກກາລະຕະຫຼາດຜະລິດຕະພັນຂອງເຕັກໂນໂລຢີໃນທາງບວກ

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ລະບົບການວິເຄາະການຈະລາຈອນກວດຫາກົນລະຍຸດຂອງແຮກເກີໂດຍໃຊ້ MITER ATT&CK ໂດຍໃຊ້ຕົວຢ່າງຂອງ PT Network Attack Discovery ແນວໃດ

ກ່ຽວກັບພື້ນຖານຄວາມຮູ້ ATT&CK

ກ່ຽວກັບ PT Network Attack Discovery

ການເຂົ້າເຖິງເບື້ອງຕົ້ນ

1. T1189: drive-by compromise

2. T1190: ນຳໃຊ້ແອັບພລິເຄຊັນທີ່ປະເຊີນໜ້າກັບສາທາລະນະ

3. T1133: ບໍລິການທາງໄກພາຍນອກ

4. T1193: spearphishing attachment

5. T1192: spearphishing link

6. T1199: ຄວາມສໍາພັນທີ່ເຊື່ອຖືໄດ້

7. T1078: ບັນຊີທີ່ຖືກຕ້ອງ

ການປະຕິບັດ

1. T1191: CMSTP (ຕົວຕິດຕັ້ງໂປຣໄຟລ໌ Microsoft Connection Manager)

2. T1059: ການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງ

3. T1175: ຮູບແບບວັດຖຸອົງປະກອບ ແລະແຈກຢາຍ COM

4. T1203: ການຂູດຮີດສໍາລັບການປະຕິບັດລູກຄ້າ

5. T1170: mshta

6. T1086: PowerShell

8. T1064: ການຂຽນອັກສອນ

9. T1035: ການປະຕິບັດການບໍລິການ

10. T1072: ຊອບແວພາກສ່ວນທີສາມ

11. T1204: ການປະຕິບັດຜູ້ໃຊ້

12. T1047:Windows Management Instrumentation

13. T1028: Windows Remote Management

14. T1220: XSL (Extensible Stylesheet Language) ການປະມວນຜົນສະຄຣິບ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ

ລະບົບການວິເຄາະການຈະລາຈອນກວດຫາກົນລະຍຸດຂອງແຮກເກີໂດຍໃຊ້ MITER ATT&CK ໂດຍໃຊ້ຕົວຢ່າງຂອງ PT Network Attack Discovery ແນວໃດ

ກ່ຽວກັບພື້ນຖານຄວາມຮູ້ ATT&CK

ກ່ຽວກັບ PT Network Attack Discovery

ການເຂົ້າເຖິງເບື້ອງຕົ້ນ

1. T1189: drive-by compromise

2. T1190: ນຳໃຊ້ແອັບພລິເຄຊັນທີ່ປະເຊີນໜ້າກັບສາທາລະນະ

3. T1133: ບໍລິການທາງໄກພາຍນອກ

4. T1193: spearphishing attachment

5. T1192: spearphishing link

6. T1199: ຄວາມ​ສໍາ​ພັນ​ທີ່​ເຊື່ອ​ຖື​ໄດ້​

7. T1078: ບັນຊີທີ່ຖືກຕ້ອງ

ການປະຕິບັດ

1. T1191: CMSTP (ຕົວຕິດຕັ້ງໂປຣໄຟລ໌ Microsoft Connection Manager)

2. T1059: ການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງ

3. T1175: ຮູບແບບວັດຖຸອົງປະກອບ ແລະແຈກຢາຍ COM

4. T1203: ການຂູດຮີດສໍາລັບການປະຕິບັດລູກຄ້າ

5. T1170: mshta

6. T1086: PowerShell

8. T1064: ການຂຽນອັກສອນ

9. T1035: ການ​ປະ​ຕິ​ບັດ​ການ​ບໍ​ລິ​ການ​

10​. T1072: ຊອບແວພາກສ່ວນທີສາມ

11​. T1204: ການ​ປະ​ຕິ​ບັດ​ຜູ້​ໃຊ້​

12​. T1047:Windows Management Instrumentation

13​. T1028: Windows Remote Management

14​. T1220: XSL (Extensible Stylesheet Language) ການປະມວນຜົນສະຄຣິບ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ

6. T1199: ຄວາມສໍາພັນທີ່ເຊື່ອຖືໄດ້

9. T1035: ການປະຕິບັດການບໍລິການ

10. T1072: ຊອບແວພາກສ່ວນທີສາມ

11. T1204: ການປະຕິບັດຜູ້ໃຊ້

12. T1047:Windows Management Instrumentation

13. T1028: Windows Remote Management

14. T1220: XSL (Extensible Stylesheet Language) ການປະມວນຜົນສະຄຣິບ