Forwarded from Threat Hunting Father 🦔
[ATT&CK MATRIX v19]
Конец "Defense Evasion" - переосмысление тактик атакующих
❕ ATT&CK переживает серьёзную структурную эволюцию, направленную на улучшение удобства для защитников и аналитической точности. Самое значимое касается тактики «Defense Evasion» и её замена более точными, целеориентированными тактиками. Изменения появятся в ATT&CK v19 28 апреля.
❕ Цели обновления:
• Повысить аналитическую точность
• Привести тактики в соответствие с реальными целями атакующих
• Устранить неоднозначность в detection и threat modeling
• Улучшить операционное удобство для защитников и CTI-команд
📌 КЛЮЧЕВОЕ ИЗМЕНЕНИЕ: УДАЛЕНИЕ «DEFENSE EVASION»
В чём проблема: Тактика стала перегруженной и размытой. Часто использовалась как «дополнительная тактика» для техник. Снижала ясность в detection engineering, анализе угроз и adversary emulation
📍 ТАКТИКИ = ЦЕЛИ АТАКУЮЩЕГО
MITRE подчёркивает основополагающий принцип:
Тактики отвечают на вопрос ЗАЧЕМ
Техники отвечают на вопрос КАК
Примеры целей:
• Initial Access → проникнуть в среду
• Persistence → закрепиться
• Privilege Escalation → получить повышенный доступ
✷ Defense Evasion в эту модель не вписывается.
📍 НОВЫЕ ТАКТИКИ
■ Stealth
• Цель: избежать обнаружения, скрывая артефакты и активность
• Характеристики: обфускация, имперсонейт, сокрытие файлов/процессов, мимикрия под легитимное окружение
• Пример: bind mounts, скрывающие вредоносные директории
■ Impair Defenses
• Цель: деградация или отключение защитных механизмов
• Характеристики: манипуляция логами, обход средств защиты, изменение политик, вмешательство в работу EDR/AV
• Примеры: отключение средств защиты, изменение телеметрии, разрыв monitoring-пайплайнов
📍 РЕСТРУКТУРИЗАЦИЯ ТЕХНИК
Техники, ранее помеченные тактикой Defense Evasion, будут переназначены в более подходящие тактики.
Примеры переклассификации:
• BITS Jobs → перенесён в Persistence
• Process Injection → разбит на Injection и Redirection
• DLL Hijacking → перенесён в Execution
• Modify Registry → возможное удаление; вспомогательный механизм, а не самостоятельная цель
📍 ОПЕРАЦИОННЫЕ ПОСЛЕДСТВИЯ
Большинство T-кодов техник не меняется - только их привязка к тактике. Тем не менее ряд вещей потребует внимания:
• Правила на TA0005 продолжат работать, но будут покрывать меньше поведений, чем раньше - Stealth наследует этот ID
• Для Impair Defenses будет выпущен новый tactic ID, который нужно будет добавить в правила и плейбуки - иначе появится слепое пятно там, где его раньше не было
• Правила, завязанные на T1562 как родительскую технику, потребуют переработки - она упраздняется и поднимается до уровня тактики
• Стоит проверить: SIEM-правила, ATT&CK Navigator layers, CTI-плейбуки и automation-пайплайны
Почитать оригинал:🔗 https://d3security.com/blog/mitre-attack-v19/
🦔 THF
Конец "Defense Evasion" - переосмысление тактик атакующих
❕ Цели обновления:
• Повысить аналитическую точность
• Привести тактики в соответствие с реальными целями атакующих
• Устранить неоднозначность в detection и threat modeling
• Улучшить операционное удобство для защитников и CTI-команд
В чём проблема: Тактика стала перегруженной и размытой. Часто использовалась как «дополнительная тактика» для техник. Снижала ясность в detection engineering, анализе угроз и adversary emulation
MITRE подчёркивает основополагающий принцип:
Тактики отвечают на вопрос ЗАЧЕМ
Техники отвечают на вопрос КАК
Примеры целей:
• Initial Access → проникнуть в среду
• Persistence → закрепиться
• Privilege Escalation → получить повышенный доступ
✷ Defense Evasion в эту модель не вписывается.
■ Stealth
• Цель: избежать обнаружения, скрывая артефакты и активность
• Характеристики: обфускация, имперсонейт, сокрытие файлов/процессов, мимикрия под легитимное окружение
• Пример: bind mounts, скрывающие вредоносные директории
■ Impair Defenses
• Цель: деградация или отключение защитных механизмов
• Характеристики: манипуляция логами, обход средств защиты, изменение политик, вмешательство в работу EDR/AV
• Примеры: отключение средств защиты, изменение телеметрии, разрыв monitoring-пайплайнов
Техники, ранее помеченные тактикой Defense Evasion, будут переназначены в более подходящие тактики.
Примеры переклассификации:
• BITS Jobs → перенесён в Persistence
• Process Injection → разбит на Injection и Redirection
• DLL Hijacking → перенесён в Execution
• Modify Registry → возможное удаление; вспомогательный механизм, а не самостоятельная цель
Большинство T-кодов техник не меняется - только их привязка к тактике. Тем не менее ряд вещей потребует внимания:
• Правила на TA0005 продолжат работать, но будут покрывать меньше поведений, чем раньше - Stealth наследует этот ID
• Для Impair Defenses будет выпущен новый tactic ID, который нужно будет добавить в правила и плейбуки - иначе появится слепое пятно там, где его раньше не было
• Правила, завязанные на T1562 как родительскую технику, потребуют переработки - она упраздняется и поднимается до уровня тактики
• Стоит проверить: SIEM-правила, ATT&CK Navigator layers, CTI-плейбуки и automation-пайплайны
Почитать оригинал:🔗 https://d3security.com/blog/mitre-attack-v19/
Please open Telegram to view this post
VIEW IN TELEGRAM
Вы решаете CTF задачи ? 🤔
Final Results
29%
Да, часто
29%
Да, иногда
14%
Как будет вдохновение
0%
Нет
36%
Что за CTF ?
7%
Очень редко
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
🕊1