Цель: Цель данного исследования — помочь специалистам по кибербезопасности в защите от APT-атак путем анализа методов вредоносного ПО, задокументированных в отчетах о киберугрозах.
Методология: Мы формируем курируемый набор из 798 отчетов о киберугрозах, а затем анализируем зарегистрированные методы вредоносного ПО с помощью MITRE ATT&CK — общеизвестного термина, обозначающего методы кибератак, киберпреступные группировки и кампании в APT-атаках. Мы анализируем частоту и тенденции применения методов, а затем проводим качественный анализ. Далее мы проводим анализ ассоциативных правил для выявления сопутствующих методов, после чего проводим качественный анализ.
Результаты: Мы установили, что получение информации об операционной системе и сетевой системе зараженной среды является наиболее распространённым методом и встречается в наибольшем количестве сопутствующих пар. Мы установили, что фишинг является наиболее распространённым способом первоначального заражения. Мы также выявили три распространённых способа злоупотребления системными функциями: макросы в документах Office, реестр Windows и планировщик задач. Мы рекомендуем организациям уделять первоочередное внимание защите от выявленных распространённых методов и активно выявлять потенциальные вредоносные вторжения на основе выявленных ассоциаций между методами вредоносного ПО. - SoK: An empirical investigation of malware techniques in advanced persistent threat attacks
No comments:
Post a Comment