TA0005Enterprise
Предотвращение обнаружения
Злоумышленник пытается избежать обнаружения. Предотвращение обнаружения состоит из техник, которые злоумышленники используют для того, чтобы избежать обнаружения на протяжении всей компрометации. Техники, используемые для предотвращения обнаружения, включают удаление или отключение средств защиты, обфускацию или шифрование данных и скриптов. Злоумышленники также используют и злоупотребляют доверенными процессами для сокрытия и маскировки своего вредоносного ПО. Техники других тактик перекрестно перечислены здесь, когда эти техники включают дополнительное преимущество обхода средств защиты.
Техники этой тактики
T1006
Прямой доступ к тому
T1014
Руткит
T1027
Обфусцированные файлы или информация
T1027.001
Заполнение исполняемого файла
T1027.002
Упаковка программного обеспечения
T1027.003
Стеганография
T1027.004
Компиляция после доставки
T1027.005
Удаление индикаторов из инструментов
T1027.006
HTML-контрабанда
T1027.007
Динамическое разрешение API
T1027.008
Урезанные полезные нагрузки
T1027.009
Встроенные полезные нагрузки
T1027.010
Обфускация команд
T1027.011
Бесфайловое хранилище
T1027.012
Контрабанда иконок LNK
T1027.013
Зашифрованный/закодированный файл
T1027.014
Полиморфный код
T1027.015
Сжатие
T1027.016
Вставка бесполезного кода
T1027.017
SVG-контрабанда
T1027.018
Невидимый Unicode
T1036
Маскировка
T1036.001
Недействительная подпись кода
T1036.002
Переопределение справа налево
T1036.003
Переименование легитимных утилит
T1036.004
Маскировка задачи или службы
T1036.005
Совпадение легитимного имени или расположения ресурса
T1036.006
Пробел после имени файла
T1036.007
Двойное расширение файла
T1036.008
Маскировка типа файла
T1036.009
Разрыв деревьев процессов
T1036.010
Маскировка имени учетной записи
T1036.011
Перезапись аргументов процесса
T1036.012
Отпечаток браузера
T1055
Внедрение в процесс
T1055.001
Внедрение библиотеки динамической компоновки
T1055.002
Внедрение переносимого исполняемого файла
T1055.003
Перехват выполнения потока
T1055.004
Асинхронный вызов процедуры
T1055.005
Локальное хранилище потока
T1055.008
Системные вызовы Ptrace
T1055.009
Память Proc
T1055.011
Внедрение дополнительной памяти окна
T1055.012
Выкапывание процесса
T1055.013
Двойник процесса
T1055.014
Перехват VDSO
T1055.015
ListPlanting
T1064
Создание сценариев
T1070
Удаление индикаторов
T1070.003
Очистка истории команд
T1070.004
Удаление файлов
T1070.005
Удаление подключения к сетевой общей папке
T1070.006
Подмена временных меток
T1070.007
Очистка истории и конфигурации сетевого подключения
T1070.008
Очистка данных почтового ящика
T1070.009
Очистка закрепления
T1070.010
Перемещение вредоносного ПО
T1078
Действительные учетные записи
T1078.001
Учетные записи по умолчанию
T1078.002
Доменные учетные записи
T1078.003
Локальные учетные записи
T1078.004
Облачные учетные записи
T1108
Избыточный доступ
T1127
Проксирование выполнения через доверенные утилиты разработчика
T1127.001
MSBuild
T1127.002
ClickOnce
T1127.003
JamPlus
T1134
Манипулирование токеном доступа
T1134.001
Подмена/кража токена
T1134.002
Создание процесса с токеном
T1134.003
Создание и подмена токена
T1134.004
Подмена родительского PID
T1134.005
Внедрение SID-History
T1140
Деобфускация/декодирование файлов или информации
T1149
Перехват LC_MAIN
T1197
Задания BITS
T1202
Косвенное выполнение команд
T1205
Сигнализация трафика
T1205.001
Стук в порт
T1205.002
Фильтры сокетов
T1211
Эксплуатация для предотвращения обнаружения
T1216
Проксирование выполнения с помощью системных скриптов
T1216.001
PubPrn
T1216.002
SyncAppvPublishingServer
T1218
Проксирование выполнения с помощью системных двоичных файлов
T1218.001
Скомпилированный HTML-файл
T1218.002
Панель управления
T1218.003
CMSTP
T1218.004
InstallUtil
T1218.005
Mshta
T1218.007
Msiexec
T1218.008
Odbcconf
T1218.009
Regsvcs/Regasm
T1218.010
Regsvr32
T1218.011
Rundll32
T1218.012
Verclsid
T1218.013
Mavinject
T1218.014
MMC
T1218.015
Приложения Electron
T1220
Обработка XSL-скриптов
T1221
Внедрение шаблона
T1480
Ограничители выполнения
T1480.001
Привязка к окружению
T1480.002
Взаимное исключение
T1497
Обход виртуализации/песочницы
T1497.001
Системные проверки
T1497.002
Проверки на основе активности пользователя
T1497.003
Проверки на основе времени
T1535
Неиспользуемые/неподдерживаемые облачные регионы
T1542
Предварительная загрузка ОС
T1542.001
Системная прошивка
T1542.002
Прошивка компонентов
T1542.003
Буткит
T1542.004
ROMMONkit
T1542.005
Загрузка TFTP
T1564
Скрытие артефактов
T1564.001
Скрытые файлы и каталоги
T1564.002
Скрытые пользователи
T1564.003
Скрытое окно
T1564.004
Атрибуты файлов NTFS
T1564.005
Скрытая файловая система
T1564.006
Запуск виртуального экземпляра
T1564.007
VBA Stomping
T1564.008
Скрытие правил электронной почты
T1564.009
Ответвления ресурсов
T1564.010
Подмена аргументов процесса
T1564.011
Игнорирование сигналов прерывания процесса
T1564.012
Исключения файлов/путей
T1564.013
Привязка монтирований
T1564.014
Расширенные атрибуты
T1574
Перехват потока выполнения
T1574.001
DLL
T1574.004
Перехват Dylib
T1574.005
Слабость разрешений файла исполняемого установщика
T1574.006
Перехват динамического компоновщика
T1574.007
Перехват пути через переменную среды PATH
T1574.008
Перехват пути путем перехвата порядка поиска
T1574.009
Перехват пути через путь без кавычек
T1574.010
Слабость разрешений файла служб
T1574.011
Слабость разрешений реестра служб
T1574.012
COR_PROFILER
T1574.013
KernelCallbackTable
T1574.014
AppDomainManager
T1612
Сборка образа на хосте
T1620
Рефлексивная загрузка кода
T1622
Уклонение от отладчика
T1678
Задержка выполнения
T1679
Выборочное исключение
T1684
Социальная инженерия
T1684.001
Имитация
T1684.002
Подмена электронной почты