В этой статье мы объясняем технику T1562 Impair Defenses фреймворка MITRE ATT&CK и подробно рассматриваем, как злоумышленники ослабляют защиту на примерах реальных атак.
Защитные средства контроля безопасности являются основой стратегии кибербезопасности организаций, но злоумышленники постоянно находят способы их отключения или обхода. Злоумышленники сосредоточены на ослаблении средств защиты, чтобы избежать обнаружения и добиться максимального успеха своих атак, отключая антивирусное программное обеспечение, изменяя правила брандмауэра и подделывая механизмы регистрации.
Что такое защитные средства контроля безопасности?
Злоумышленники намеренно компрометируют или нарушают защитные механизмы, на которые полагаются организации для защиты своей среды, чтобы выполнить свои вредоносные действия, не будучи прерванными или обнаруженными. В качестве техники уклонения от защиты в 2025 году наиболее распространенной техникой, используемой в кампаниях вредоносного ПО, была T1562 Impair Defenses.
При использовании техники Impair Defenses злоумышленники обычно используют слабые места и уязвимости в инфраструктуре жертвы, чтобы подорвать ее защиту, предназначенную для предотвращения несанкционированного доступа, обнаружения и реагирования. Злоумышленники тщательно изучают целевую систему, чтобы выявить уязвимости, начиная от непропатченного программного обеспечения и заканчивая неправильной конфигурацией. Поскольку устройства безопасности также не защищены от эксплуатации, злоумышленники отключают их или манипулируют ими, чтобы создать «мертвую зону» в системе защиты организации. Эта техника представляет собой серьезную проблему для защитников, поскольку скомпрометированные средства защиты могут непреднамеренно помочь противнику скрыть свои действия и избежать обнаружения.
Злоумышленники используют технику Impair Defenses для компрометации различных средств защиты, таких как превентивные средства защиты, средства обнаружения и вспомогательные механизмы.
Превентивные средства защиты
Превентивные средства защиты предназначены для активного предотвращения или минимизации воздействия потенциальных угроз. Эти средства контроля направлены на создание барьеров и применение мер безопасности для предотвращения несанкционированного доступа, снижения рисков, а также поддержания целостности и конфиденциальности. К основным превентивным средствам защиты относятся межсетевые экраны, системы предотвращения вторжений (IPS), антивирусное и антивирусное программное обеспечение, а также брандмауэры веб-приложений (WAF). Неприятели используют технику T1562 Impair Defenses для уничтожения или нейтрализации превентивных средств защиты, что позволяет им перемещаться, сохраняться и достигать своих целей в целевых средах.
Возможности обнаружения
Организации внедряют средства контроля безопасности с возможностью обнаружения, чтобы сосредоточиться на выявлении и реагировании на инциденты безопасности. В отличие от превентивных средств контроля, цель которых - остановить инциденты безопасности до их возникновения, детективные средства контроля предназначены для обнаружения и предупреждения организаций о наличии угроз безопасности или нарушений, что позволяет своевременно отреагировать и устранить последствия. К числу распространенных средств контроля безопасности относятся системы управления информацией и событиями безопасности (SIEM), системы обнаружения вторжений (IDS) и системы обнаружения и реагирования на конечные точки (EDR). Злоумышленники используют технику T1562 Impair Defenses для компрометации средств защиты и нарушения процессов реагирования на инциденты.
Вспомогательные механизмы
Вспомогательные механизмы - это дополнительные инструменты, технологии или процессы, которые дополняют и усиливают эффективность различных средств контроля безопасности. Эти механизмы работают в тандеме с превентивными, детективными и другими защитными средствами контроля для повышения общего уровня безопасности организации. Вот некоторые из известных вспомогательных механизмов:
Системы ведения журналов: Windows Event Logs, Syslog, PowerShell PSReadLine, Linux bash_history, AWS CloudWatch, AWS CloudTrail, Azure Activity Log, GCP Audit Logs и т. д.
Инструменты аудита: Linux auditd, Microsoft SQL Server Audit и т. д.
Злоумышленники снижают или блокируют эффективность поддерживающих механизмов с помощью техники T1562 Impair Defenses, чтобы ослабить защиту цели и облегчить достижение своих целей без обнаружения и эффективного реагирования.
Использование противниками средств защиты от несанкционированного доступа
Получив первоначальный доступ, злоумышленники стремятся выполнить свои вредоносные действия без ограничений и оставаться скрытыми как можно дольше. Кроме того, они стремятся устранить любые следы компрометации, чтобы сорвать работы по реагированию на инциденты и анализу вредоносного ПО. Для достижения этой цели злоумышленники используют различные методы, чтобы ослабить превентивные меры, возможности обнаружения и вспомогательные механизмы, которые позволяют организациям поддерживать свою безопасность. Техника Impair Defenses может быть реализована на нескольких этапах атакующей кампании с различными целями.
Например, злоумышленники могут отключить Windows Defender перед выполнением вредоносных команд. Отключив Windows Defender, злоумышленники повышают вероятность успешного выполнения вредоносной полезной нагрузки на целевой системе. Затем они могут изменить конфигурацию брандмауэра, чтобы обойти обнаружение и установить каналы связи со своим сервером C2. Чтобы устранить любые следы компрометации, злоумышленники могут удалить журналы событий Windows и ограничить возможности жертвы по анализу атаки.
Поскольку организации имеют полный список средств контроля безопасности для самозащиты, существует множество векторов атак против этих средств, используемых противниками.
Подтехники T1562 Impair Defenses
Техника Impair Defenses состоит из нескольких подтехник, каждая из которых направлена на различные механизмы защиты, чтобы ослабить обороноспособность организации. Злоумышленники используют эти методы для отключения, модификации или обхода средств защиты, гарантируя, что их действия останутся незамеченными. От отключения антивирусного ПО и изменения правил брандмауэра до манипуляций с журналами безопасности и ограничения возможностей реагирования на инциденты - эти субтехники играют решающую роль в незаметных кибервторжениях.
В версии 16.1 матрица MITRE ATT&CK Matrix for Enterprise содержит 11 подтехник в разделе T1562 Impair Defenses, каждая из которых обладает уникальными характеристиками и сценариями атак.
- T1562.001 Отключение или модификация инструментов
- T1562.002 Отключение регистрации событий Windows
- T1562.003 Нарушение записи истории команд
- T1562.004 Отключение или изменение системного брандмауэра
- T1562.006 Блокирование индикаторов
- T1562.007 Отключение или изменение облачного брандмауэра
- T1562.008 Отключение или изменение облачных журналов
- T1562.009 Загрузка в безопасном режиме
- T1562.010 Атака на понижение версии
- T1562.011 Подмена оповещений о безопасности
- T1562.012 Отключение или изменение системы аудита Linux