V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1038Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Предотвращение выполнения кода

Предотвращайте выполнение несанкционированного или вредоносного кода в системах путём внедрения контроля приложений, блокировки скриптов и иных механизмов предотвращения выполнения. Это гарантирует, что будет выполняться только доверенный и авторизованный код, снижая риск заражения вредоносным программным обеспечением и несанкционированных действий. Данная мера может быть реализована следующими способами: Контроль приложений: - Сценарий применения: используйте инструменты AppLocker или Windows Defender Application Control (WDAC) для создания разрешённых списков авторизованных приложений и блокировки несанкционированных. В Linux используйте SELinux или AppArmor для определения политик обязательного контроля доступа к выполнению приложений. - Реализация: разрешайте выполнение на серверах и конечных точках только цифровых или предварительно одобренных приложений. (Пример: `New-AppLockerPolicy -PolicyType Enforced -FilePath "C:\Policies\AppLocker.xml"`) Блокировка скриптов: - Сценарий применения: используйте механизмы контроля скриптов для блокировки несанкционированного выполнения скриптов PowerShell или JavaScript. Для браузеров: используйте расширения браузера или настройки для блокировки выполнения JavaScript из ненадёжных источников. - Реализация: настраивайте PowerShell для применения режима ограниченного языка (Constrained Language Mode) для пользователей без прав администратора. (Пример: `Set-ExecutionPolicy AllSigned`) Блокировка исполняемых файлов: - Сценарий применения: запрещайте выполнение двоичных файлов из подозрительных расположений, таких как каталоги `%TEMP%` или `%APPDATA%`. - Реализация: блокируйте выполнение файлов `.exe`, `.bat` или `.ps1` из каталогов, доступных для записи пользователям. Предотвращение динамического анализа: - Сценарий применения: используйте инструменты предотвращения выполнения на основе анализа поведения для выявления и блокировки вредоносной активности в реальном времени. - Реализация: применяйте решения EDR, анализирующие поведение в режиме выполнения и блокирующие подозрительное выполнение кода.

Связанные техники

T1036
Маскировка
T1036.005
Совпадение легитимного имени или расположения ресурса
T1036.008
Маскировка типа файла
T1047
Инструментарий управления Windows
T1059
Интерпретатор команд и сценариев
T1059.001
PowerShell
T1059.002
AppleScript
T1059.003
Командная оболочка Windows
T1059.004
Оболочка Unix
T1059.005
Visual Basic
T1059.006
Python
T1059.007
JavaScript
T1059.008
Интерфейс командной строки сетевого устройства
T1059.009
Облачный API
T1059.010
AutoHotKey и AutoIT
T1059.011
Lua
T1059.013
Интерфейс командной строки/API контейнера
T1068
Эксплуатация для повышения привилегий
T1080
Заражение общего контента
T1106
Собственный API
T1127
Проксирование выполнения через доверенные утилиты разработчика
T1127.001
MSBuild
T1127.003
JamPlus
T1129
Общие модули
T1176
Программные расширения
T1176.001
Расширения браузера
T1176.002
Расширения IDE
T1204
Выполнение пользователем
T1204.002
Вредоносный файл
T1204.004
Вредоносное копирование и вставка
T1216
Проксирование выполнения с помощью системных скриптов
T1216.001
PubPrn
T1216.002
SyncAppvPublishingServer
T1218
Проксирование выполнения с помощью системных двоичных файлов
T1218.001
Скомпилированный HTML-файл
T1218.002
Панель управления
T1218.003
CMSTP
T1218.004
InstallUtil
T1218.005
Mshta
T1218.008
Odbcconf
T1218.009
Regsvcs/Regasm
T1218.012
Verclsid
T1218.013
Mavinject
T1218.014
MMC
T1218.015
Приложения Electron
T1219
Инструменты удаленного доступа
T1219.001
Туннелирование IDE
T1219.002
Программное обеспечение для удаленного рабочего стола
T1220
Обработка XSL-скриптов
T1490
Подавление восстановления системы
T1505.004
Компоненты IIS
T1546.002
Заставка
T1546.006
Добавление LC_LOAD_DYLIB
T1546.008
Специальные возможности
T1546.009
DLL AppCert
T1546.010
DLL AppInit
T1547.004
Вспомогательная DLL Winlogon
T1547.006
Модули и расширения ядра
T1547.009
Изменение ярлыка
T1548
Злоупотребление механизмом контроля повышения привилегий
T1548.004
Повышенное выполнение с запросом
T1553
Подрыв средств контроля доверия
T1553.001
Обход Gatekeeper
T1553.003
Перехват SIP и провайдера доверия
T1553.005
Обход метки веба
T1564.003
Скрытое окно
T1564.006
Запуск виртуального экземпляра
T1574
Перехват потока выполнения
T1574.001
DLL
T1574.006
Перехват динамического компоновщика
T1574.007
Перехват пути через переменную среды PATH
T1574.008
Перехват пути путем перехвата порядка поиска
T1574.009
Перехват пути через путь без кавычек
T1574.012
COR_PROFILER
T1609
Команды администрирования контейнеров
T1611
Выход на хост
T1674
Внедрение ввода
T1685
Отключение или модификация инструментов
T1685.003
Изменение или подделка пользовательского интерфейса инструментов
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.