ááŸááºáááºážáá»á¬ážááᯠá
á¯áá±á¬ááºážááŒá®áž ááŒá
áºáááºáá»á¬ážááᯠááœá²ááŒááºážá
áááºááŒá¬áá±ážááá·áº SIEM áááºáááºáá±ááŒá®ááŒá
áºááŒá±á¬ááºážá ááá¯ááºážáááºá
áºááá¯ážáá»á¬ážááᯠá¡áá¯á¶ážá¡ááŒááºáá»á¬ážáá±á«áºááœáẠááá·áºááœááºážáá¬ážáááºáá¯ááá¯ááŒáá«á
áá¯á·á áááºááá¯áá²ááŒá
áºááŒá
áºá
NTAs ááŸá áºáá»áá¯ážááŸááááº- áá áºáá¯á NetFlow ááŸáá·áºá¡áá¯ááºáá¯ááºáááºá á¡ááŒá¬ážáá áºáá¯ááẠáá¯ááºááŒááºážáááºážááŒá±á¬ááºážááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬áááºá áá¯áááá áá áºáá¡á¬ážáá¬áá»ááºááŸá¬ áá¯ááºááŒááºážáááºážááŒá±á¬ááºážáá»á¬ážááᯠááááºážáááºážááá¯ááºááŒááºážááŒá áºáááºá áááºážááŒá±á¬áá·áº ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážáá»áœááºážáá»ááºáá°áá áºáŠážááẠááá¯ááºááá¯ááºááŸá¯áá¡á±á¬ááºááŒááºááŸá¯ááᯠá á áºáá±ážááá¯ááºáááºá ááŒáááºážááŒá±á¬ááºááŸá¯ááᯠáá±áá á¶áááºááŸááºáááºá ááá¯ááºááá¯ááºááŸá¯ááŒá áºááœá¬ážáá¯á¶ááŸáá·áº á¡áá¬áááºááœáẠá¡áá¬ážáá°áááºáá²á·ááá¯á· áá¬ááœááºááááºááᯠáá¬ážáááºááá¯ááºáááºá
á¡ááááá¬á¡ááŒá±áá¶ááœááºáá±á¬áºááŒáá¬ážáá±á¬ áááá¬ážááá·áºááá¯ááºááá¯ááºááŸá¯áááºážáá»á°áá¬á¡á¬ážáá¯á¶ážááᯠááá¯ááºááá¯áẠááá¯á·ááá¯áẠááœááºááá¯ááºáá±á¬ááá¹ááá¬áá»á¬ážááŒáá·áº ááœá²ááŒá¬ážáááºááŸááºááẠNTA ááᯠáááºááá¯á·á¡áá¯á¶ážááŒá¯ááá¯ááºááŒá±á¬ááºáž ááŒááá«áááºá
ATT&CK Knowledge Base á¡ááŒá±á¬ááºáž
MITER ATT&CK ááẠá á áºááŸááºáá±á¬ APT áá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŸá¯á¡áá±á«áº á¡ááŒá±áá¶á MITER áá±á¬áºááá¯áá±ážááŸááºážá០áá®ááœááºááááºážááááºážáá¬ážáá±á¬ á¡áá»á¬ážáá°ááŸá¬ á¡ááááá¬á¡ááŒá±áá¶áá áºáá¯ááŒá áºáááºá áááºážááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº áááºážáá»á°áá¬áá»á¬ážááŸáá·áº áááºážá áá áºáá»ááá±á¬ á¡á á¯á¡áá±ážáá áºáá¯ááŒá áºáááºá áááºážááẠááá¹áá¬áá áºááŸááºážá០ááááºážá¡áá»ááºá¡ááẠáá¯á¶ááŒá¯á¶áá±ážáá»áœááºážáá»ááºáá°áá»á¬ážááᯠáá°áá®áá±á¬áá¬áá¬á áá¬ážááŒáá·áº ááŒá±á¬ááá¯ááá¯ááºá á±áá«áááºá áá±áá¬áá±á·á áºááẠá¡áááºáááŒáẠáá»á²á·ááœááºáá±ááŒá®áž á¡ááááá¬á¡áá áºáá»á¬ážááŒáá·áº ááŒáá·áºá áœááºáá¬ážáááºá
áá±áá¬áá±á·á áºááẠááá¯ááºáá¬ááá¯ááºááá¯ááºááŸá¯á á¡ááá·áºáá»á¬ážááŒáá·áº ááá¯ááºážááŒá¬ážáá¬ážáá±á¬ áááºážáá»á°áᬠ12 áá¯ááᯠááœá²ááŒá¬ážáá±á¬áºááŒáááº-
- áááŠážáááºáá±á¬ááºááœáá·áº (initial access);
- ááœááºáá»ááºááŒááºáž (execution);
- á á¯á ááºážááŸá¯ (ááŒá²ááŒá¶ááŸá¯);
- á¡ááœáá·áºáá°ážááá¯ážááŒááºážá
- áá±á¬ááºááŸááºážááŒááºáž áá¬ááœááºáá±áž (áá¬ááœááºáá±áž ááŸá±á¬ááºááœáŸá²ááŸá¯);
- á¡áá±á¬ááºá¡áá¬ážáá»á¬áž ááá°ááŒááºáž (credential access);
- áá±á¬ááºááŸááºážáá±áž (ááŸá¬ááœá±ááœá±á·ááŸáááŸá¯);
- áááºáááºážáá»ááºá¡ááœááºáž ááœá±á·áá»á¬ážááŸá¯ (lateral movement);
- áá±áá¬á á¯áá±á¬ááºážááŒááºáž (á á¯áá±á¬ááºážááŒááºáž);
- á¡áááá·áºááŸáá·áºááááºážáá»á¯ááºááŸá¯;
- áá±áá¬áá¯ááºáá°ááŒááºáž
- ááááá¯ááºááŸá¯á
áááºážáá»á°áá¬áá áºáá¯á á®á¡ááœááºá ATT&CK Knowledge Base ááẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¯ááºááá¯ááºááŸá¯á áááºááŸáá¡ááá·áºááœáẠáááºážááá¯á·ááááºážááá¯ááºááᯠá¡á±á¬ááºááŒááºá¡á±á¬áẠáá°áá®áá±ážááá·áº áááºážáááºážáá»á¬ážá á¬áááºážááᯠá á¬áááºážááŒá¯á á¯áá¬ážáááºá áá°áá®áá±á¬áááºážááá¬ááᯠááá°áá®áá±á¬á¡ááá·áºáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºááŒá®ážá áááºážáá»á°áá¬áá»á¬ážá áœá¬ááᯠáááºááœáŸááºážááá¯ááºáááºá
áááºážááá¬áá áºáá¯á á®á áá±á¬áºááŒáá»ááºááœááº-
- á¡ááŸááºá¡áá¬ážá
- áááºážááá¯á¡áá¯á¶ážááŒá¯ááá·áº áááºážáá»á°áá¬áá»á¬ážá á¬áááºážá
- APT á¡ááœá²á·áá»á¬ážá á¡áá¯á¶ážááŒá¯ááŸá¯ááá°áá¬áá»á¬ážá
- áááºážáá¡áá¯á¶ážááŒá¯ááŸá¯ááŒá±á¬áá·áº áá»ááºá á®ážáá¯á¶ážááŸá¯á¶ážááŸá¯áá»áŸá±á¬á·áá»ááẠá¡á á®á¡áá¶áá»á¬ážá
- áá±á¬ááºááŸááºážá¡ááŒá¶ááŒá¯áá»ááºáá»á¬ážá
ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážáá»áœááºážáá»ááºáá°áá»á¬ážááẠáááºááŸáááá¯ááºááá¯ááºááŸá¯áááºážáááºážáá»á¬ážááŸáá·áºáááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºáá±á¬ááºáááºá¡ááœáẠáá±áá¬áá±á·á
áºá០á¡ááááá¬ááᯠá¡áá¯á¶ážááŒá¯áᬠáááá±á¬ááºáá±á¬áá¯á¶ááŒá¯á¶áá±ážá
áá
áºáá
áºáá¯ááᯠáááºáá±á¬ááºááẠá
áááºá
áœá²ááŸááºáá¬ážááŒá®ážá á
á
áºááŸááºáá±á¬ APT á¡ááœá²á·áá»á¬áž áááºáá²á·ááá¯á· áááºáááºáá±áááºááᯠáá¬ážáááºááŒááºážááẠá¡ááœááºážááœáẠááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠáááºááŒáœá
áœá¬ ááŸá¬ááœá±ááŒááºážá¡ááœáẠááœá±ážáá±á«áºááŸá¯ á¡áááºážá¡ááŒá
áºáá
áºáᯠááŒá
áºáá¬ááá¯ááºáááºá
PT Network Attack Discovery á¡ááŒá±á¬ááºáž
á
áá
áºá¡áá¯á¶ážááŒá¯á ATT & CK matrix á០áááºážááá¬áá»á¬ážá¡áá¯á¶ážááŒá¯ááŸá¯ááᯠáá±á¬áºáá¯ááºáá«áááºá
á
áá
áºááẠá¡áááá·áºááŒáá·áº áááºáá®ážáá¬ážáá±á¬ áá±á¬ááºááŸááºážááŸá¯á
ááºážáá»ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ATT&CK áááºážááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáá±á¬ááºááŸááºážáááºá
áá®ááŸá¬ PT NAD á MITER ATT&CK matrix ááá¯á· ááŒá±áá¯á¶á¡ááŒáá·áºá¡á á¯á¶á áá¯á¶ááẠááŒá®ážáá¬ážáá±á¬ááŒá±á¬áá·áº áááºážááᯠáá®ážááŒá¬ážáááºážááá¯ážááœáẠááá·áºááœááºážá ááºážá á¬ážááẠá¡ááŒá¶ááŒá¯á¡ááºáá«áááºá
áááŠážáááºáá±á¬ááºááœáá·áº
áááŠážá¡áá¯á¶ážááŒá¯ááœáá·áºáááºážáá»á°áá¬áá»á¬ážááœáẠáá¯áá¹ááá®áá
áºáá¯áááœááºáááºááᯠá
ááá·áºáááºá¡á±á¬ááºááŒá¯áá¯ááºááá·áº áááºážá
áá
áºáá»á¬ážáá«áááºáááºá á€á¡ááá·áºááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážá áááºááŸááºážáá»ááºááŸá¬ ááá¯ááºááá¯ááºáá¶ááá±á¬á
áá
áºááá¯á· á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºáá»á¬áž áá±ážááá¯á·áááºááŸáá·áº áááºážá áá±á¬ááºáááºáá¯ááºáá±á¬ááºááŸá¯ááᯠáá±áá»á¬á
á±áááºááŒá
áºáááºá
PT NAD áááºážááŒá±á¬ááºážááœá²ááŒááºážá áááºááŒá¬ááŒááºážááẠáááŠážáááºáá±á¬ááºááœáá·áºáááŸáááŒááºážá¡ááœáẠáááºážáááºážáá¯áá áºáá¯ááᯠáá±á¬áºááŒáááº-
1. T1189 : drive-by compromise
á¡ááá®áá±ážááŸááºážáááºáá±á¬ááºááœáá·áº ááá¯áááºáá»á¬ážááá°ááẠáááºááá±á¬ááºáá¬ááᯠá¡áá¯á¶ážáá»ááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº áááºááá¯ááºáá áºáá¯á¡á¬áž áá¬ážáá±á¬ááºááœáá·áºááá·áº áááºážáááºážáá áºáá¯á
PT NAD áá¬áá¯ááºááá²á- áááºáááºážááŒá±á¬ááºážááᯠáá¯ááºááŸááºááá¬ážáá«áá PT NAD ááẠHTTP áá¬áá¬áá¯á¶á·ááŒááºááŸá¯áá»á¬ážá á¡ááŒá±á¬ááºážá¡áá¬ááᯠá á áºáá±ážáááºá á€á¡ááŒá±áá»á¬ážááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá±á¬ááºáá¬á¡ááœááºáž áááá¬ážáá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºá á±ááẠá¡áá¯á¶ážáá»ááŸá¯áá»á¬ážááᯠááœá±á·ááŸáááááºá PT NAD ááẠáá±á¬ááºááŸááºážááŒááºážá ááºážáá»ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááá¯áá²á·ááá¯á· á¡ááŒááºáá¯ááºááŸá¯áá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬áẠáá±á¬ááºááŸááºážáááºá
ááá¯á·á¡ááŒááºá PT NAD ááẠááááºá¡ááá·áºááŸá ááŒáááºážááŒá±á¬ááºááŸá¯ááᯠáá±á¬ááºááŸááºážáááºá á¡áá¯á¶ážááŒá¯áá°ááẠáá°á·á¡á¬áž á¡áá¯á¶ážáá»ááŸá¯áá»á¬ážá áœá¬ááŸááá±á¬ áááºááá¯ááºáá áºáá¯ááá¯á· ááŒááºááœáŸááºážáá±ážááá·áº áááºááá¯ááºááá¯á· ááœá¬ážáá±á¬ááºáááºáááºáá²á·áá»áŸáẠá¡áá±ážá¡áá°áá¯ááºááŒááºážááá¯ááºáᬠá ááºážáá»ááºážáá»á¬ážááŸáá·áº á¡ááœáŸááºážáá»á¬ážááᯠá¡á áá»áá¯ážáááºá
2. T1190 : á¡áá»á¬ážáá°ááŸá¬ áá»ááºááŸá¬á
á¬á¡ááá®áá±ážááŸááºážááᯠá¡áá¯á¶ážáá»áá«á
á¡ááºáá¬áááºá០áááŸáááá¯ááºáá±á¬ áááºáá±á¬ááºááŸá¯áá»á¬ážááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáá»ááŒááºážá
PT NAD áá¬áá¯ááºááá²á: ááœááºáááºáááºáááºáá»á¬ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáááºááŸáá¯ááºážá áœá¬ á á áºáá±ážááŒááºážá áááºážááœáẠáááŸááºááááºáá¯ááºáá±á¬ááºááŸá¯ ááá¹ááá¬áá»á¬ážááᯠááŒáááŒááºážá á¡áá°ážáááŒáá·áºá áááºáá¡ááŒá±á¬ááºážá¡áá¬á á®áá¶ááá·áºááœá²ááŸá¯á áá áºáá»á¬áž (CMS)á ááœááºáááºáááááá¬áá»á¬ážá áááºá¡ááºáá¬áá±á·á áºáá»á¬ážá áá±ážááºááŸáá·áº FTP áá¬áá¬áá»á¬ážááᯠááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáá±á¬ááºááŸááºážááá¯ááºá á±ááá·áº á ááºážáá»ááºážáá»á¬ážááŸááá«áááºá
3. T1133 : ááŒááºáá¡áá±ážááááºážáááºáá±á¬ááºááŸá¯áá»á¬áž
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááŒááºáá០á¡ááœááºážááá¯ááºážááœááºáááºáááºážááŒá áºáá»á¬ážááŸáá·áº áá»áááºáááºááẠá¡áá±ážááŸáááºáá±á¬ááºááŒááºážáááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá
PT NAD áá¬áá¯ááºááá²á: á áá áºááẠááá¯á·ááºáá¶áá«ááºáá»á¬ážááŒáá·áºááá¯ááºáá² áááá¯ááá¯áá±á¬áá»á¬ážááᯠá¡ááá¡ááŸááºááŒá¯áá±á¬ááŒá±á¬áá·áºá ááá¯á·áá±á¬áº áááºáááºáá»á¬ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážá¡á¬ážááŒáá·áºá á áá áºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠá¡áá±ážááááºážáááºáá±á¬ááºááœáá·áºáááá¯ááá¯áá±á¬áá»á¬ážá áááºááŸááºá¡á¬ážáá¯á¶ážááᯠááŸá¬ááœá±áááºááŸáá·áº áááºážááá¯á·áááá¬ážáááºááŸá¯ááᯠá á áºáá±ážáááºáááºážáááºážááŒáá·áº á¡ááœá¬ážá¡áá¬ááᯠá áá áºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá០á á áºáá¯ááºááá¯ááºáá«áááºá
4. T1193 : spearphishing attachment
áá»áœááºá¯ááºááá¯á·ááẠáá¬áááºááá¯ážááŒáá·áº ááŒá¬ážáá±á¬ááºážáá±á¬ áá°ážááœá²áá«ááá¯ááºáá»á¬áž áá±ážááá¯á·ááŒááºážá¡ááŒá±á¬ááºáž ááŒá±á¬áá±áá«áááºá
PT NAD áá¬áá¯ááºááá²á: ááá¯ááºáá»á¬ážááᯠá¡ááœá¬ážá¡áá¬á០á¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá°ááŒá®áž á¡áá±ážá¡áá°áá¯ááºááá·áº ááœáŸááºááááºážáá»á¬ážááŸáá·áº áááºážááá¯á·ááᯠá á áºáá±ážáááºá áá°ážááœá²áá«ááá¯ááºáá»á¬ážááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºááá¯ááºáá±á¬ ááá¯ááºáá»á¬ážááᯠáá±ážááºáááºážááŒá±á¬ááºážá á¡ááŒá±á¬ááºážá¡áá¬ááᯠááœá²ááŒááºážá áááºááŒá¬ááá·áº á ááºážáá»ááºážáá»á¬ážááŒáá·áº ááŸá¬ááœá±ááœá±á·ááŸááá«áááºá áá±á¬áºááá¯ááááºáááºáááºážáá»ááºááœááºá ááá¯ááá¯á·áá±á¬ áááºážááŸá®ážááŒá¯ááºááŸá¶ááŸá¯ááẠááŸá¬ážááœááºážáááºáᯠáá°ááá«áááºá
5. T1192 : spearphishing link
phishing ááá·áºááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá á¡ááá¯áá«áááºážááá¬ááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠááŸáááºááá¯ááºááá·áºá¡áá« á¡áá¹ááá¬ááºááŸááá±á¬ áááá¯ááááºááᯠáá±á«ááºážáá¯ááºáá¯ááºááá·áº ááá·áºááºáá áºáá¯ááŒáá·áº ááŒá¬ážáá±á¬ááºážá¡á®ážáá±ážááºáá áºá á±á¬áẠáá±ážááá¯á·ááŒááºážááœáẠáá«áááºáá«áááºá á ááºážáá»ááºážá¡áá áá°ááŸá¯á¡ááºáá»ááºáá®áá¬áá ááºážáá»ááºážá¡á¬ážáá¯á¶ážá¡á á á¯á ááºážáá¬ážáá±á¬ á á¬áá¬ážááŒáá·áº ááá·áºááºááᯠááœá²áá¬ážáááºá
PT NAD áá¬áá¯ááºááá²á: á¡áá±ážá¡áá°áá¯ááºááá·áº á¡ááœáŸááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááŒá¬ážáá±á¬ááºážááá·áºááá·áºááºáá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸááááºá á¥ááá¬á¡á¬ážááŒáá·áºá PT NAD á¡ááºáá¬áá±á·á áºááœáẠááŒá¬ážáá±á¬ááºážááŒááºážááááºá á¬áá»á¬ážá á¬áááºáž (phishing-urls) á á¬áááºážááœááºáá«ááŸááá±á¬ ááá·áºááºááŸáá áºááá·áº HTTP áá»áááºáááºááŸá¯ááŸáááá·áº á ááºááŸááºáá áºáá¯ááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááááºá
Phishing-urls áá»á¬ážá á¡áá±ážá¡áá° á¡ááœáŸááºážáá»á¬ážá
á¬áááºážá០ááá·áºááºááŸáááá·áº áá»áááºáááºááŸá¯
6. T1199 : áá¯á¶ááŒááºááŸá¯áááºáá¶áá±áž
áá±áá¯á¶ážáá°á áá¯á¶ááŒááºá áááºáá»ááá±á¬ áááºáá¶áá±ážááŸáááá·áº áááááá«áá®áá»á¬ážááŸáá áºááá·áº áá¬ážáá±á¬ááºáááœááºáááºááá¯á· áááºáá±á¬ááºááŒááºážá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá¯á¶ááŒááºááá±á¬á¡ááœá²á·á¡á ááºážáá áºáá¯ááá¯á· áá±á¬ááºááœááºážáááºáá±á¬ááºááá¯ááºááŒá®áž áá áºááŸááºááœááºáááºááá¯á· áá»áááºáááºááá¯ááºáááºá ááá¯ááá¯á·áá¯ááºáá±á¬ááºáááºá áááºážááá¯á·ááẠá¡ááœá¬ážá¡áᬠááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŒáá·áº áááºááŸá¬ážá á±ááá·áº VPN áá»áááºáááºááŸá¯áá»á¬áž ááá¯á·ááá¯áẠááá¯ááááºážáá¯á¶ááŒááºááŸá¯ áááºáá¶áá±ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá
PT NAD áá¬áá¯ááºááá²á: á¡ááá®áá±ážááŸááºážáááá¯ááá¯áá±á¬áá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŒá®áž ááœá²ááŒááºážá áááºááŒá¬áá¬ážáá±á¬ á¡ááœááºáá»á¬ážááᯠáá±áá¬áá±á·á áºááœáẠááááºážáááºážáá±ážáááºá ááá¯á·ááŸáᬠáá±áá¬áá¯á¶ááŒá¯á¶áá±ážáá±á·áá¬áááºážá á áºáá°ááẠáá¶ááááŒá áºááœáẠVPN áá»áááºáááºááŸá¯áá»á¬áž ááá¯á·ááá¯áẠáá±áá¬áá±á·á áºá¡ááœááºážááŸá ááá¯ááááºážááŒááºáá»á±á¬áºáá»áááºáááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááẠá á áºáá¯ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
7. T1078 : ááá¬ážáááºá¡áá±á¬áá·áºáá»á¬áž
ááŒááºáááŸáá·áº á¡ááœááºážááá¯ááºážáááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááœáẠááœáá·áºááŒá¯áá»ááºá¡ááœáẠá á¶á áá±áááá¯ááºáᬠááá¯á·ááá¯áẠááá¯ááááºážá¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
PT NAD áá¬áá¯ááºááá²á: HTTPá FTPá SMTPá POP3á IMAPá SMBá DCE/RPCá SOCKS5á LDAPá Kerberos áááá¯ááá¯áá±á¬áá»á¬ážá០á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá°áááºá áá±áá°áá»á¡á¬ážááŒáá·áºá áááºážááẠá¡áá±á¬áá·áºáááºááŒááºážá á áá¬ážááŸááºááŸáá·áº á¡á±á¬ááºááŒááºáá±á¬ á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážá ááá¹ááá¬ááŒá áºáááºá áááºážááá¯á·ááᯠá¡áá¯á¶ážááŒá¯ááŒá®ážáá«áá áááºážááá¯á·ááᯠáááºááá¯ááºáᬠá ááºááŸááºáááºááœáẠááŒááá¬ážáááºá
ááœááºáá»ááºááŒááºážá
á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯áááºážáá»á°áá¬áá»á¬ážááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá±ážá¡áá°áá¶ááá±á¬á
áá
áºáá»á¬ážááœáẠáá¯ááºááá¯áá¯ááºáá±á¬ááºááẠá¡áá¯á¶ážááŒá¯ááá·áºáááºážá
áá
áºáá»á¬áž áá«áááºáááºá á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠáá¯ááºáá±á¬ááºááŒááºážááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡á¬áž áááºááŸáááŸá¯ (ááŒá²ááŒá¶á
á±áá±á¬ áááºážáá»á°áá¬) ááᯠáá°áá±á¬ááºá
á±ááŒá®áž áááºáááºážáá»ááºá¡ááœááºáž ááœáŸá±á·ááŒááºážááŒáá·áº ááœááºáááºááŸá á¡áá±ážááááºážá
áá
áºáá»á¬ážááá¯á· áááºáá±á¬ááºááœáá·áºááᯠáá»á²á·ááœááºá
á±áááºá
PT NAD ááẠááá·áºá¡á¬áž á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááá¯áá¯ááºáá±á¬ááºááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº áááºážááᬠáá áá¯ááᯠááœá²ááŒá¬ážáááºááŸááºááá¯ááºá á±áá«áááºá
1. T1191 - CMSTP (Microsoft Connection Manager áááá¯ááá¯áẠáááºáááºáá°)
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠbuilt-in Windows CMSTP.exe utility (Connection Manager Profile Installer) á¡ááœáẠá¡áá°ážáááºáá®ážáá¬ážááá·áº á¡áá¹ááá¬ááºááŸááá±á¬ .inf áááºáááºááŸá¯ááá¯ááºááᯠááŒááºáááºááá·áºáááºážáá»á°áá¬á CMSTP.exe ááẠááá¯ááºáá áºáá¯ááᯠááá·áºáááºáá»ááºáá áºáá¯á¡ááŒá Ạáá°áᬠá¡áá±ážááááºážáá»áááºáááºááŸá¯á¡ááœáẠáááºáá±á¬ááºááŸá¯áááá¯ááá¯ááºááᯠááá·áºááœááºážáááºá ááááºá¡áá±ááŒáá·áºá CMSTP.exe ááᯠá¡áá±ážááááºážáá¬áá¬áá»á¬ážá០dynamic link libraries (*.dll) ááá¯á·ááá¯áẠscriptlets (*.sct) ááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž áá¯ááºáá±á¬ááºááẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
PT NAD áá¬áá¯ááºááá²á- HTTP áááºážááŒá±á¬ááºážááŸá á¡áá°ážáá±á¬áẠ.inf ááá¯ááºáá»á¬áž áá¯ááºááœáŸáá·áºááŸá¯ááᯠá¡ááá¯á¡áá»á±á¬áẠááááŸáááá¯ááºáááºá ááá¯á·á¡ááŒááºá áááºážááẠáá±ážáá¶áá±á«ááºáá®áá±á¬áá¬áá¬á០á¡áá¹ááá¬ááºááŸááá±á¬ scriptlets áá»á¬ážááŸáá·áº dynamic link library áá»á¬ážááᯠHTTP ááœáŸá²ááŒá±á¬ááºážááŸá¯áá»á¬ážááᯠáá±á¬ááºááŸááºážáááºá
2. T1059 : command-line ááŒá¬ážáá¶
command line interface ááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºááŒááºážá á¡áááá·áºáá±ážá á¬ááŒá±á¬ááºážááŒá¬ážáá¶ááẠá ááºááœááºáž ááá¯á·ááá¯áẠá¡áá±ážááááºážá áá áºááŒáá·áº á¡ááŒááºá¡ááŸááºáááºááœááºááá¯ááºáááº
PT NAD áá¬áá¯ááºááá²á: ping á ifconfig áá²á·ááá¯á·áá±á¬ á¡áá»áá¯ážáá»áá¯ážáá±á¬ command line utilities áá»á¬ážááᯠá áááºááẠááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠáá¯á¶á·ááŒááºááŒááºážááŒáá·áº shells áááŸá±á·ááŸá±á¬ááºááœáẠá¡ááá¯á¡áá»á±á¬áẠááááŸáááá¯ááºáááºá
3. T1175 : á¡á
áááºá¡ááá¯ááºáž á¡áá¬ááá¹áᯠáá±á¬áºáááºááŸáá·áº COM ááᯠááŒáá·áºáá±áááºá
COM ááá¯á·ááá¯áẠDCOM áááºážááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á á ááºááœááºáž ááá¯á·ááá¯áẠá¡áá±ážááááºážá áá áºáá»á¬ážáá±á«áºááœáẠáá¯ááºááᯠááœááºáááºááᯠááŒááºááœá¬ážááá·áºá¡ááá¯ááºáž áá¯ááºáá±á¬ááºáááºá
PT NAD áá¬áá¯ááºááá²á: áááá¯ááááºáá»á¬ážááᯠá áááºááẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá¯á¶ážáá»á¬ážáá±á¬ áá¶ááááŒá áºááœáẠDCOM áá±á«áºááá¯ááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸááááºá
4. T1203 : client ááᯠááœááºáá»ááºááŒááºážá¡ááœáẠáá±á«ááºážáá¯á¶ááŒááºááŒááºážá
á¡áá¯ááºáá¯á¶áá áºáá¯ááœáẠáááá¬ážáá¯ááºááᯠáá¯ááºáá±á¬ááºááẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáá»ááŒááºážá ááá¯ááºááá¯ááºáá°áá»á¬ážá¡ááœáẠá¡áá¯á¶ážáááºáá¯á¶ážáá±á¬ exploits áá»á¬ážááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡á¬áž ááá¯á áá áºááá¯á· áááºáá±á¬ááºááœáá·áºáááŸáá á±áá±á¬ááŒá±á¬áá·áº á¡áá±ážááááºážá áá áºááœáẠáá¯ááºááᯠáá¯ááºáá±á¬ááºááœáá·áºááŒá¯ááá·áºá¡áá¬áá»á¬ážááŒá áºáááºá á¡ááá¯áá«áááºážááá¬ááᯠá¡á±á¬ááºáá«áááºážáááºážáá»á¬ážááŒáá·áº á¡áá±á¬ááºá¡áááºáá±á¬áºááá¯ááºáááº- á¡áá¹ááá¬ááºááŸááá±á¬ á á¬ááá¯á·ááŒááºážá ááá±á¬ááºáᬠá¡áá¯á¶ážáá»ááŸá¯áá»á¬ážáá«ááŸááá±á¬ áááºááá¯ááºáá áºáá¯á ááŸáá·áº á¡ááá®áá±ážááŸááºáž á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá±ážá០á¡áá¯á¶ážáá»ááŒááºážá
PT NAD áá¬áá¯ááºááá²á: á á¬ááá¯á·á¡ááœá¬ážá¡áá¬ááᯠááœá²ááŒááºážá áááºááŒá¬áá±á ááºá PT NAD ááẠáá°ážááœá²áá«ááá¯ááºááœáẠáá¯ááºáá±á¬ááºááá¯ááºáá±á¬ ááá¯ááºáá»á¬ážááŸááá±ááŒááºážááŸááááŸá á á áºáá±ážáá«áááºá á¡ááŒááºáá¯ááºááŸá¯áá»á¬ážáá«ááŸááá±á¬ á¡á®ážáá±ážááºáá»á¬ážá០áá¯á¶ážá á¬ááœááºá á¬áááºážáá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá°áááºá á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáá»ááẠááŒáá¯ážáááºážááŸá¯áá»á¬ážááᯠPT NAD á០á¡ááá¯á¡áá»á±á¬áẠááááŸáááá¯ááºááá·áº á¡ááœá¬ážá¡áá¬ááœáẠááŒááºááá¯ááºáááºá
5. T1170 :mshta
Microsoft HTML á¡ááá®áá±ážááŸááºážáá»á¬áž (HTA) ááᯠ.hta ááá¯ážáá»á²á·ááŸá¯ááŒáá·áº áá¯ááºáá±á¬ááºááá·áº mshta.exe utility ááᯠá¡áá¯á¶ážááŒá¯áá«á mshta ááẠááá±á¬ááºáᬠáá¯á¶ááŒá¯á¶áá±ážáááºáááºáá»á¬ážááᯠáá»á±á¬áºááŒááºáᬠááá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá±ážáá±á¬ááŒá±á¬áá·áº ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá¹ááá¬ááºááŸááá±á¬ HTAá JavaScript ááá¯á·ááá¯áẠVBScript ááá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááẠmshta.exe ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
PT NAD áá¬áá¯ááºááá²á: mshta ááŸáááá·áº áá¯ááºáá±á¬ááºáááºá¡ááœáẠ.hta ááá¯ááºáá»á¬ážááᯠááœááºáááºáá±á«áºááœááºáááºáž áá±ážááá¯á·ááẠ- áááºážááᯠá¡ááœá¬ážá¡áá¬ááœáẠááœá±á·ááŒááºááá¯ááºáá«áááºá PT NAD ááẠááá¯áá²á·ááá¯á·áá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááºáá»á¬áž á¡ááá¯á¡áá»á±á¬áẠáá°ážá ááºááŒááºážááᯠáá±á¬ááºááŸááºážáááºá áááºážááẠááá¯ááºáá»á¬ážááᯠáááºážáá°ááá¯ááºááŒá®áž áááºážááá¯á·ááŸáá·áºáááºáááºááá·áº á¡áá»ááºá¡áááºáá»á¬ážááᯠá ááºááŸááºáááºááœáẠááŒáá·áºááŸá¯ááá¯ááºáá«áááºá
6. T1086 : powershell
á¡áá»ááºá¡áááºááŸá¬ááœá±áááºááŸáá·áº á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠáá¯ááºáá±á¬ááºááẠPowerShell ááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
PT NAD áá¬áá¯ááºááá²á: PowerShell ááᯠááá¯ááºááá¯ááºáá°áá»á¬áž á¡áá±ážá០á¡áá¯á¶ážááŒá¯áá±á¬á¡áá«á PT NAD ááẠá ááºážáá»ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áááºážááᯠááŸá¬ááœá±ááœá±á·ááŸááá«áááºá áááºážááẠá¡áá¹ááá¬ááºááŸááá±á¬ scripts áá»á¬ážááœáẠá¡áá¯á¶ážá¡áá»á¬ážáá¯á¶áž PowerShell áá¬áá¬á áá¬ážáá±á¬á·áá»ááºá á¬áá¯á¶ážáá»á¬ážááŸáá·áº SMB ááŸáááá·áº PowerShell scripts áá»á¬ážáá¯ááºááœáŸáá·áºááŸá¯ááᯠááŸá¬ááœá±ááœá±á·ááŸááááºá
7.
áááºááŸááºáá¬ážáá±á¬á¡áá»áááºáá»á¬ážááœáẠáááá¯ááááºáá»á¬áž ááá¯á·ááá¯áẠscript áá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬áẠrun ááẠWindows Task Scheduler ááŸáá·áº á¡ááŒá¬ážáá±á¬ utilities ááá¯áá¯á¶ážáá«á
PT NAD áá¬áá¯ááºááá²á: ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá»á¬ážáá±á¬á¡á¬ážááŒáá·áº á¡áá±ážááŸáá±á ááá¯ááá¯á·áá±á¬áá¯ááºáááºážáá±á¬ááºáá¬áá»á¬ážááᯠáááºáá®ážááŒáááºá ááá¯ááá¯áááºááŸá¬ ááá¯á¡á ááºážá¡áá±ážáá»á¬ážááᯠá¡ááœá¬ážá¡áá¬ááœáẠááŒááºááá¯ááºáááºá PT NAD ááẠATSVC ááŸáá·áº ITaskSchedulerService RPC á¡ááºáá¬áá±á·á áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áá¶ááááŒá áºááœáẠá¡áá¯ááºáááºáá®ážááŒááºážááŸáá·áº ááŒá¯ááŒááºááœááºážáá¶ááŒááºáž áá¯ááºáááºážáá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬áẠááááŸááááºá
8. T1064 : áá¬ááºááœáŸááºážáá±ážááŒááºážá
ááá¯ááºááá¯ááºáá°áá»á¬ážá áá¯ááºáá±á¬ááºáá»ááºá¡áá»áá¯ážáá»áá¯ážááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºááẠScript áá»á¬ážááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááŒááºážá
PT NAD áá¬áá¯ááºááá²á: ááœááºáááºáá±á«áºááŸá script áá»á¬áž áá¯ááºááœáŸáá·áºááŸá¯ááᯠááááŸááááºá ááá¯ááá¯áááºááŸá¬ áááºážááá¯á·ááᯠáá áááºáá®ááẠááŒá áºáááºá áááºážááẠáá¯ááºááŒááºážáááºážááŒá±á¬ááºážááœáẠscript á¡ááŒá±á¬ááºážá¡áá¬ááᯠááŸá¬ááœá±ááœá±á·ááŸáááŒá®áž áá°ááŒáá¯ááºáá»á¬ážáá±á¬ scripting languages ââáá»á¬ážááŸáá·áº áááºááá¯ááºááá·áº extensions áá»á¬ážáá«ááŸááá±á¬ ááá¯ááºáá»á¬ážá ááœááºáááºááá¯á· áá¯ááºááœáŸáá·áºááŸá¯ááᯠáá±á¬ááºááŸááºážáááºá
9. T1035 : áááºáá±á¬ááºááŸá¯ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááŒááºážá
Service Control Manager (SCM) áá²á·ááá¯á·áá±á¬ Windows áááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŒááºážááŒáá·áº executable fileá CLI ááœáŸááºááŒá¬ážáá»ááºáá»á¬áž ááá¯á·ááá¯áẠscript ááᯠrun áá«á
PT NAD áá¬áá¯ááºááá²á: SMB á¡ááœá¬ážá¡áá¬ááᯠá á áºáá±ážááŒá®áž áááºáá±á¬ááºááŸá¯áá áºáᯠáááºáá®ážáááºá ááŒááºáááºááŒááºážááŸáá·áº á áááºááŒááºážá¡ááœáẠá ááºážáá»ááºážáá»á¬ážá¡á¬ážááŒáá·áº SCM ááá¯á· áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŸá¬ááœá±áááºá
áááºáá±á¬ááºááŸá¯á áááºááŒááºážá¡ááœáẠáááºážááá¬ááᯠá¡áá±ážááááºážá¡áááá·áºáá±ážáá¯ááºáá±á¬ááºááŸá¯ utility PSExec ááᯠá¡áá¯á¶ážááŒá¯á á¡áá±á¬ááºá¡áááºáá±á¬áºááá¯ááºáááºá PT NAD ááẠSMB áááá¯ááá¯áá±á¬ááᯠááœá²ááŒááºážá áááºááŒá¬ááŒá®áž PSEXESVC.exe ááá¯áẠááá¯á·ááá¯áẠPSEXECSVC á á¶áááºáá±á¬ááºááŸá¯á¡áááºááᯠá¡áá¯á¶ážááŒá¯áá±á¬á¡áá«ááœáẠáááºážááẠPSExec áá¡áá¯á¶ážááŒá¯ááŸá¯ááᯠááŸá¬ááœá±ááœá±á·ááŸááááºá á¡áá¯á¶ážááŒá¯áá°ááẠááœááºáá»ááºááá·áºá¡áááá·áºáá»á¬ážá á¬áááºážááŸáá·áº host á០remote command áá¯ááºáá±á¬ááºáá»ááºáááá¬ážáááºááŸá¯ááᯠá á áºáá±ážááẠááá¯á¡ááºáááºá
PT NAD ááŸá ááá¯ááºááá¯ááºáá±ážáááºááẠATT&CK matrix á០á¡áá¯á¶ážááŒá¯ááá·áº áááºážáá»á°áá¬áá»á¬ážááŸáá·áº áááºážá áá áºáá»á¬ážááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážááᯠááŒááá±ážáááºááŒá áºááŒá®áž ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¯ááºááá¯ááºáá°áá»á¬ážá áááºááá·áºá¡ááá·áºááœááºááŸáááááºážá áááºážááá¯á·ááẠáááºááá·áºáááºážááá¯ááºááŸáá·áº áá¯ááºáá±á¬ááºááááºááᯠááááŸáááá¯ááºá á±áááºá¡ááœáẠáá±áá¬áá»á¬ážááᯠááŒááá±ážáá«áááºá
á¡áá±ážááááºážá
ááºááœáẠá¡áááá·áºáá±ážáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááẠááŒáá¯ážáááºážááŸá¯ááᯠááœáŸááºááŒááá¯ááºááá·áº PSExec utility ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŸáá·áºáááºáááºááá·áº á
ááºážáá»ááºážááᯠá¡áááºááœááºážááŒááºáž
10 á T1072 : ááŒááºááá±á¬á·ááºáá²
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá±ážááááºáž á¡á¯ááºáá»á¯ááºááŸá¯áá±á¬á·ááºáá²áẠááá¯á·ááá¯áẠáá±á¬áºááá¯ááááºáá±á¬á·ááºáá²ááŒáá·áºáá»ááºááŸá¯á
áá
áºááá¯á· áááºáá±á¬ááºááœáá·áºáááŸáááŒá®áž á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠáá¯ááºáá±á¬ááºááẠáááºážááá¯á·ááᯠá¡áá¯á¶ážááŒá¯ááá·áº áááºážááá¬áá
áºáá¯á ááá¯áá²á·ááá¯á·áá±á¬áá±á¬á·ááºáá²ááºáá¥ááá¬áá»á¬áž- SCCMá VNCá TeamViewerá HBSSá Altirisá
á
áá¬ážáá
ááºá áááºážááá¬ááẠá¡áá±ážááááºážá¡áá¯ááºááá¯á· ááŒá®ážáá¬ážáá±á¬á¡áá°ážá¡ááŒá±á¬ááºážááŸáá·áºáááºá
ááºá á¡áá°ážáááŒáá·áºáááºááá¯ááºááŒá®áž ááááºá¡áá±ááŒáá·áºá áá¶ááááŸááá±á¬á¡áá±ážááŸáááºáá±á¬ááºááœáá·áºáá»ááºáááºáá»á¬ážááŸáá
áºááá·áº á¡áááºá¡ááŒá±á¬ááºá¡ááŒá¬ážááᯠá¡áá¬á¡ááœááºáá²á·á
ááºáá
á¹á
ááºážáá»á¬ážááŸáá·áº áá»áááºáááºááŸá¯ááŒá
áºáááºá
PT NAD áá¬áá¯ááºááá²á: ááœááºáááºáá±á«áºááŸá ááá¯áá±á¬á·ááºáá²á áá¯ááºáá±á¬ááºáá»ááºááᯠá¡ááá¯á¡áá»á±á¬áẠááááŸááááºá á¥ááá¬á¡á¬ážááŒáá·áºá á ááºážáá»ááºážáá»á¬ážááẠVNC áááá¯ááá¯áá±á¬ááŸáá·áº EvilVNC Trojan ááŸáá áºááá·áº áá¬ážáá±á¬ááºá host ááœáẠVNC áá¬áá¬ááᯠáá»áŸáá¯á·ááŸááºááá·áºááœááºážááŒá®áž áááºážááᯠá¡ááá¯á¡áá»á±á¬ááºááœáá·áºáá±ážááá·áº áá»áááºáááºááŸá¯áá»á¬ážááŸáá áºááá·áº á¡á áá»áá¯ážááŒááºážááŒá áºáááºá ááá¯á·á¡ááŒááºá PT NAD ááẠTeamViewer áááá¯ááá¯áá±á¬ááᯠá¡ááá¯á¡áá»á±á¬ááºááááŸáááá¯ááºáááºá áááºážááẠáááºážá á áºáá°ááᯠá á áºáá¯ááºááŸá¯áá áºáá¯á¡áá¯á¶ážááŒá¯áá¬á á¡ááá¯áá«á¡á ááºážá¡áá±ážáá»á¬ážá¡á¬ážáá¯á¶ážááᯠááŸá¬ááœá±ááŒá®áž áááºážááá¯á·áááá¬ážáááºááŸá¯ááᯠá á áºáá±ážááẠáá°áá®áá±ážáááºá
11 á T1204 : á¡áá¯á¶ážááŒá¯áá°ááᯠááœááºáá»ááºááŒááºážá
á¡áá¯á¶ážááŒá¯áá°ááẠáá¯ááºááᯠáááºáááºá á±ááá·áº ááá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá·áº áááºážáááºážáá áºáá¯á á¥ááá¬á¡á¬ážááŒáá·áºá áááºážááẠexecutable ááá¯ááºááá¯ááœáá·áºáá«á ááá¯á·ááá¯áẠmacro ááŒáá·áº office document áá áºáá¯ááᯠrun áá«á ááŒá áºááá¯ááºáááºá
PT NAD áá¬áá¯ááºááá²á: áááºážááá¯á·ááᯠáá áááºáá® ááœáŸá²ááŒá±á¬ááºážááá·áº á¡ááá·áºááœáẠááá¯ááá¯ááºáá»á¬ážááᯠááŒááºáááºá áááºážááá¯á·ááŸáá·áº áááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºážááá¯á· áá¯ááºááœáŸáá·áºáá²á·ááá·áº á¡á ááºážá¡áá±ážáá»á¬ážá áááºááœáẠáá±á·áá¬ááá¯ááºáááºá
12 á T1047 : Windows Management Instrumentation
Windows á áá áºá¡á áááºá¡ááá¯ááºážáá»á¬ážááá¯á· áá±ááá¹ááááŸáá·áº á¡áá±ážááŸáááºáá±á¬ááºááœáá·áºáá±ážááá·áº WMI áááááá¬ááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá WMI ááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá±ááá¹ááááŸáá·áº á¡áá±ážááááºážá áá áºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºááá¯ááºááŒá®áž áá±á¬ááºááŸááºážááŸá¯ááá¯ááºáᬠáááºááœááºáá»ááºáá»á¬ážá¡ááœáẠá¡áá»ááºá¡áááºáá»á¬áž á á¯áá±á¬ááºážááŒááºážááŸáá·áº áá±ážááá¯ááºááœá±á·áá»á¬ážáá±á áẠá¡áá±ážá០áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá áááºááŒááºážáá²á·ááá¯á·áá±á¬ áá¯ááºáááºážáá»áá¯ážá á¯á¶ááᯠáá¯ááºáá±á¬ááºááá¯ááºáááºá
PT NAD áá¬áá¯ááºááá²áWMI ááŸáááá·áº á¡áá±ážááááºážá áá áºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºáááºááœááºááŸá¯áá»á¬ážááᯠá¡ááœá¬ážá¡áá¬ááœáẠááŒááºááá¯ááºáá±á¬ááŒá±á¬áá·áº PT NAD ááẠWMI áááºááŸááºáá»á¬ážáááºáá±á¬ááºááẠááœááºáááºáá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬ááºááááŸáááŒá®áž WMI ááá¯á¡áá¯á¶ážááŒá¯áá±á¬ scripts áá»á¬ážáá°ážá ááºáá±áááºáá°áá±á¬á¡áá»ááºá¡ááœáẠtraffic ááá¯á á áºáá±ážáááºá
13 á T1028 : Windows Remote Management
á¡áá¯á¶ážááŒá¯áá°á¡á¬áž á¡áá±ážááááºážá áá áºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºáááºááœááºááá¯ááºá á±ááá·áº Windows áááºáá±á¬ááºááŸá¯ááŸáá·áº áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá
PT NAD áá¬áá¯ááºááá²áâ Windows Remote Management ááᯠá¡áá¯á¶ážááŒá¯á áááºáá±á¬ááºáá¬ážáá±á¬ ááœááºáááºáá»áááºáááºááŸá¯áá»á¬ážááᯠááŒááºáááºá ááá¯ááá¯á·áá±á¬á¡á ááºážá¡áá±ážáá»á¬ážááᯠá ááºážáá»ááºážáá»á¬ážááŒáá·áº á¡ááá¯á¡áá»á±á¬ááºááœá±á·ááŸááá«áááºá
14 á T1220 : XSL (Extensible Stylesheet Language) áá¬ááºááœáŸááºážáá¯ááºáá±á¬ááºááŒááºážá
XSL á ááá¯áẠmarkup áá¬áá¬á áá¬ážááᯠXML ááá¯ááºáá»á¬ážááœáẠáá±áá¬áá¯ááºáá±á¬ááºááŒááºážááŸáá·áº áááºáááºááŒááºážááᯠáá±á¬áºááŒáááºá¡ááœáẠá¡áá¯á¶ážááŒá¯áá«áááºá ááŸá¯ááºááœá±ážáá±á¬áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáá¶á·ááá¯ážáááºá XSL á á¶ááŸá¯ááºážááœáẠáá¬áá¬á áá¬ážáá»á¬ážá áœá¬ááŒáá·áº inline scripts áá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯áá«áááºáááºá á€áá¬áá¬á áá¬ážáá»á¬ážááẠáá°ááŒá°á á¬áááºážááœááºážáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»á¬ážááᯠáá»á±á¬áºááœáŸá¬ážááá¯ááºááá·áº áááá¬ážáá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááœáá·áºááŒá¯áááºá
PT NAD áá¬áá¯ááºááá²á: ááœááºáááºáá±á«áºááŸá ááá¯ááá¯ááºáá»á¬áž áá¯ááºááœáŸáá·áºááŸá¯ááᯠááááŸááááºá ááá¯ááá¯áááºááŸá¬ áááºážááá¯á·ááᯠáá áááºáá®ááẠááŒá áºáááºá áááºážááẠááœááºáááºáá±á«áºááŸá XSL ááá¯ááºáá»á¬ážááŸáá·áº ááŸá¬ážááœááºážáá±á¬ XSL á¡ááŸááºá¡áá¬ážáá«áá±á¬ ááá¯ááºáá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬áẠááááŸáááá¯ááºáááºá
á¡á±á¬ááºáá±á¬áºááŒáá«áá á¹á ááºážáá»á¬ážááœááºá PT Network Attack Discovery NTA á áá áºááẠMITER ATT & CK ááŸáá·áºá¡áá® ááá¯ááºááá¯ááºáá°áá»á¬ážá á¡ááŒá¬ážáááºážáá»á°áá¬áá»á¬ážááŸáá·áº áááºážááá¬áá»á¬ážááᯠáááºááá¯á·ááŸá¬ááœá±á·áááºááᯠááŒáá·áºááŸá¯áá«áááºá áááºááŒá®ážáá¬ážáá±á¬ááºáá«!
á á¬áá±ážááá¬áá»á¬áž:
- Anton Kutepov, áá»áœááºážáá»ááºáá¯á¶ááŒá¯á¶áá±ážá ááºáᬠ(PT Expert Security Center) á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬áááºážááá¬áá»á¬ážááá¯ááºáá¬áá»áœááºážáá»ááºáá°
- Positive Technologies á០áá¯ááºáá¯ááºá á»á±ážááœááºááŸá¬ááœá±áá° Natalia Kazankova
source: www.habr.com