+7 495 269-26-07
+7 495 419-15-03
+7 495 269-26-07 +7 495 419-15-03
Личный кабинет
Техническая поддержка:
+7 495 269-26-07
+7 495 419-15-03
  • Блог
  • Стала доступна публичная библиотека планов эмуляции действий злоумышленников

Стала доступна публичная библиотека планов эмуляции действий злоумышленников

25.09.2020

Организация MITRE Engenuity представила проект публичной библиотеки планов эмуляции действий злоумышленников при проведении кибератак. Проект получил название Adversary Emulation Library и на днях пополнился атаками одной из крупнейших финансовых киберпреступных групп – FIN6.  

Философия проекта – дать возможность экспертам информационной безопасности протестировать свои защитные возможности по предупреждению компьютерных атак, а также киберустойчивость и текущую систему управления ИБ с точки зрения реальной угрозы на основании поведения конкретных известных атак злоумышленников. Вместо статического применения сигнатур атак, планы эмуляции основаны на интеллектуальном анализе и представляют средства для тестирования и настройки защитных функций против развивающихся тактик, методов и процедур (TTP) противника и его вредоносных программ.

Проект Adversary Emulation Library – это структурированная библиотека планов эмуляции для команд Red Team и SOC для выполнения систематического тестирования своей инфраструктуры защиты на основании реальных TTP противников. Каждый план эмуляции основан на артефактах атак и отчетах разведки, полученных от реальных жертв, а также:

  • Публикуется на Github.

  • Включает компоненты: общее описание – Intelligence Summary, операционный поток – Operations Flow и удобочитаемый план эмуляции – Emulation Plan. Причем все написано на Markdown для удобства исправлений и обновлений.

  • Машиночитаемое представление использует YAML как принятый отраслевой подход к автоматизированной эмуляции.

  • Библиотека распространяется по лицензии Appache 2.0 для максимального использования и адаптации планов сообществом.

Группировка FIN6, которой посвящен свежий выпущенный пакет эмуляции, активна с 2015 года и ее основной целью являются учреждения розничной торговли и медицины, а также финансовые организации, включая частую цель – POS-терминалы. Вредоносными действиями являются как кража платежных данных, так и заражение вымогательским ПО и шифровальщиками (Ryuk, LockerGoga, Trinity и др.).