رایج‌ترین تکنیک‌های ATT&CK شناسایی‌شده در سال 2024، مرتب‌شده بر اساس درصد نمونه‌های بدافزاری که این رفتار را نشان داده‌اند.

T1055 – تزریق فرآیند (Process Injection)

توضیحات: تزریق فرآیند تکنیکی است که برای اجرای کد دلخواه در فضای آدرس یک فرآیند زنده جداگانه استفاده می‌شود. این اغلب برای فرار از شناسایی و به دست آوردن امتیازات بالا استفاده می‌شود.

توضیحات متدولوژی: تزریق فرآیند شامل تزریق کد مخرب به فرآیندهای سیستمی برای پنهان کردن فعالیت‌های بدافزار است. این تکنیک به مهاجمان اجازه می‌دهد تا از فرآیندهای قانونی سیستم به عنوان پوششی برای اجرای کد خود استفاده کنند و از شناسایی توسط نرم‌افزارهای امنیتی جلوگیری کنند. انواع این حمله شامل:

  • Process Hollowing
  • DLL Injection
  • Thread Execution Hijacking
 

T1059 – مفسر دستور و اسکریپت (Command and Scripting Interpreter)

توضیحات: مهاجمان ممکن است از مفسرهای دستور و کنترل برای اجرای دستورات، اسکریپت‌ها یا باینری‌ها سوء استفاده کنند. این رابط‌ها و زبان‌ها راه‌هایی برای تعامل با سیستم‌های رایانه‌ای فراهم می‌کنند و معمولاً برای برآورده کردن الزامات مدیریت و اتوماسیون ساخته می‌شوند.

توضیحات متدولوژی: استفاده از مفسرهای دستور و اسکریپت مانند PowerShell یا Python به مهاجمان این امکان را می‌دهد که دستورات مخرب را به صورت مستقیم روی سیستم اجرا کنند. این روش به دلیل استفاده از ابزارهای سیستمی قانونی، شناسایی را دشوارتر می‌کند و به مهاجمان اجازه می‌دهد تا به صورت پویا و انعطاف‌پذیر حملات خود را پیش ببرند. انواع این حمله شامل:

  • PowerShell
  • Python
  • Command Prompt
 

T1555 – اعتبارات از مخازن رمز عبور (Credentials from Password Stores)

توضیحات: مهاجمان ممکن است تلاش کنند تا اعتبارات را با دزدیدن آن‌ها از مخازن رمز عبور (محلی یا راه دور) به دست آورند. مخازن رمز عبور می‌تواند انواع مکان‌ها باشد، مانند فایل‌های پیکربندی، زنجیره‌های کلید یا صندوق‌های اعتباری.

توضیحات متدولوژی: سرقت اعتبارات از مخازن رمز عبور شامل دسترسی غیرمجاز به فایل‌ها یا سیستم‌هایی است که نام‌های کاربری و رمزهای عبور را ذخیره می‌کنند. مهاجمان با به دست آوردن این اطلاعات می‌توانند به حساب‌های کاربری دسترسی پیدا کرده و فعالیت‌های مخرب انجام دهند.

T1071 – پروتکل لایه کاربرد (Application Layer Protocol)

توضیحات: مهاجمان ممکن است با استفاده از پروتکل‌های لایه کاربرد ارتباط برقرار کنند تا از شناسایی/مسدود شدن توسط دستگاه‌های امنیتی شبکه جلوگیری کنند، و با ترافیک عادی شبکه ترکیب شوند. این پروتکل‌ها با برنامه‌های کاربردی رایج مانند مرور وب، ایمیل و DNS مرتبط هستند که ممکن است توسط دستگاه‌های بازرسی عمیق بسته‌ها بازرسی نشوند.

T1562 – تضعیف دفاع (Impair Defenses)

توضیحات: مهاجمان ممکن است تلاش کنند تا ابزارهای امنیتی را غیرفعال، اصلاح یا حذف کنند تا از شناسایی جلوگیری کنند. این می‌تواند شامل تغییر نرم‌افزار امنیتی، غیرفعال کردن خدمات امنیتی یا حذف برنامه‌های امنیتی باشد.

T1486 – داده رمزگذاری‌شده برای اثرگذاری (Data Encrypted for Impact)

توضیحات: مهاجمان ممکن است داده‌ها را در یک سیستم هدف یا در یک شبکه هدف به عنوان بخشی از یک حمله منع سرویس رمزگذاری کنند یا داده‌های دزدیده شده را برای قربانیان غیرقابل بازیابی کنند. این ممکن است با رمزگذاری فایل‌ها، دیسک‌ها یا سایر مخازن داده انجام شود.

T1082 – کشف اطلاعات سیستم (System Information Discovery)

توضیحات: مهاجمان ممکن است تلاش کنند تا اطلاعات دقیقی در مورد سیستم عامل، سخت‌افزار و سایر ویژگی‌های سیستم جمع‌آوری کنند تا بینشی در مورد آسیب‌پذیری‌ها یا نقاط ضعف پیکربندی به دست آورند.

T1056 – ضبط ورودی (Input Capture)

توضیحات: مهاجمان ممکن است تلاش کنند تا ورودی کاربر مانند ضربه‌های کلید یا حرکات ماوس را ضبط کنند تا اعتبارنامه بدزدند یا اطلاعات حساس به دست آورند. این ممکن است با نصب یک کی‌لاگر یا با رهگیری رویدادهای ورودی کاربر انجام شود.

T1547 – اجرای خودکار هنگام بوت یا ورود (Boot or Logon Autostart Execution)

توضیحات: مهاجمان ممکن است تنظیمات سیستم را طوری پیکربندی کنند که هنگام بوت شدن سیستم یا ورود کاربر به طور خودکار برنامه‌ها را اجرا کنند. این به آن‌ها اجازه می‌دهد تا پایداری را در یک سیستم هدف حفظ کنند.

T1005 – داده از سیستم محلی (Data from Local System)

توضیحات: مهاجمان ممکن است سیستم محلی را برای فایل‌های حاوی داده‌های حساس بالقوه مانند نام‌های کاربری، رمزهای عبور و سایر اعتبارنامه‌ها جستجو کنند.