Suspeita de atividade na Rússia visando o governo e entidades comerciais em todo o mundo

À medida que o aniversário de um ano da descoberta do compromisso da cadeia de suprimentos da SolarWinds passa, a Mandiant continua comprometida em rastrear um dos atores mais difíceis que encontramos. Esses supostos atores russos praticam segurança operacional de alto nível e habilidade profissional avançada. No entanto, eles são falíveis e continuamos a descobrir sua atividade e aprender com seus erros. No final das contas, eles continuam sendo uma ameaça adaptável e em evolução que deve ser estudada de perto pelos defensores que buscam ficar um passo à frente.

 

Resumo

A Mandiant continua a rastrear vários grupos de atividades suspeitas de invasão russa que têm como alvo empresas e entidades governamentais em todo o mundo. Com base em nossa avaliação dessas atividades, identificamos dois grupos distintos de atividades, UNC3004 e UNC2652. Associamos os dois grupos ao UNC2452, também conhecido como Nobelium pela Microsoft.

Algumas das táticas que Mandiant observou recentemente incluem:

• Compromisso de várias soluções de tecnologia, serviços e empresas revendedoras desde 2020.
• Uso de credenciais provavelmente obtidas de uma campanha de malware de ladrão de informações por um ator terceirizado para obter acesso inicial às organizações.
• Uso de contas com privilégios de representação de aplicativos para coletar dados confidenciais de e-mail desde o primeiro trimestre de 2021.
• Uso de serviços de proxy de IP residencial e infraestrutura geo-localizada recém-provisionada para se comunicar com as vítimas comprometidas.
• Uso de novos TTPs para contornar as restrições de segurança em ambientes, incluindo, mas não se limitando à extração de máquinas virtuais para determinar configurações de roteamento interno.
• Uso de um novo downloader personalizado que chamamos de CEELOADER.
• Abuso de autenticação multifator, aproveitando notificações “push” em smartphones

Na maioria dos casos, a atividade pós-comprometimento incluiu o roubo de dados relevantes para os interesses russos. Em alguns casos, o roubo de dados parece ser obtido principalmente para criar novas rotas para acessar outros ambientes de vítimas. Os atores da ameaça continuam a inovar e identificar novas técnicas e técnicas para manter o acesso persistente aos ambientes das vítimas, dificultar a detecção e confundir os esforços de atribuição.

As seções abaixo destacam a atividade de intrusão de vários esforços de resposta a incidentes que atualmente são rastreados como vários clusters não categorizados. Mandiant suspeita que os múltiplos clusters sejam atribuíveis a uma ameaça russa comum. As informações abaixo abrangem algumas das Táticas, Técnicas e Procedimentos (TTPs) usados ​​pelos atores da ameaça para o compromisso inicial, estabelecimento de um ponto de apoio, coleta de dados e movimento lateral; como os atores da ameaça fornecem infraestrutura; e indicadores de compromisso. As informações estão sendo compartilhadas para aumentar a conscientização e permitir que as organizações se defendam melhor.

Compromisso inicial

Compromisso de provedores de serviços em nuvem

A Mandiant identificou várias instâncias em que o ator da ameaça comprometeu os provedores de serviços e usou o acesso privilegiado e as credenciais pertencentes a esses provedores para comprometer os clientes downstream.

Em pelo menos uma instância, o agente da ameaça identificou e comprometeu uma conta VPN local e fez uso dessa conta VPN para realizar o reconhecimento e obter acesso adicional aos recursos internos dentro do ambiente do CSP da vítima, o que acabou levando ao comprometimento das contas do domínio interno.

Acesso obtido da campanha de malware do ladrão de informações

A Mandiant identificou uma campanha em que os atores da ameaça obtiveram acesso ao ambiente Microsoft 365 da organização alvo usando um token de sessão roubado. A Mandiant analisou as estações de trabalho pertencentes ao usuário final e descobriu que alguns sistemas foram infectados com CRYPTBOT, um malware que rouba informações, pouco antes de o token de sessão roubado ser gerado. A Mandiant observou que, em alguns casos, o usuário baixou o malware depois de navegar em sites de baixa reputação que oferecem software gratuito ou “crackeado”.

A Mandiant avalia com confiança moderada que o ator da ameaça obteve o token de sessão dos operadores do malware ladrão de informações. Esses tokens foram usados ​​pelo ator por meio de provedores VPN públicos para autenticação no ambiente Microsoft 365 do destino.

Abuso de notificações push MFA repetidas

A Mandiant também observou o ator da ameaça executando várias tentativas de autenticação em curta sucessão em contas protegidas com autenticação multifator (MFA). Nesses casos, o ator da ameaça tinha uma combinação válida de nome de usuário e senha. Muitos provedores de MFA permitem que os usuários aceitem uma notificação push de aplicativo de telefone ou recebam uma chamada e pressionem uma tecla como um segundo fator. O agente da ameaça aproveitou-se disso e emitiu várias solicitações de MFA para o dispositivo legítimo do usuário final até que o usuário aceitasse a autenticação, permitindo que o agente da ameaça eventualmente obtivesse acesso à conta.

Atividade pós-comprometimento por meio do comprometimento do provedor de soluções em nuvem

Estabelecer posição

Em pelo menos um caso, o ator da ameaça comprometeu uma conta do Microsoft Azure AD em um locatário do Cloud Service Provider (CSP). A conta tinha uma função específica do Azure AD que permitia usar o recurso Admin em Nome de (AOBO). Com o AOBO, os usuários com uma função específica no locatário CSP têm acesso de Proprietário RBAC (Controle de Acesso Baseado em Função do Azure) às assinaturas do Azure nos locatários de seus clientes que foram criados por meio do relacionamento com o revendedor. O acesso de proprietário do RBAC dá ao detentor da função controle total sobre todos os recursos da assinatura do Azure. O ator da ameaça aproveitou as credenciais do csp comprometido e o recurso AOBO para obter acesso privilegiado às assinaturas do Azure usadas para hospedar e gerenciar sistemas de clientes downstream. O ator executou comandos com NT AUTHORITY \ SYSTEMprivilégios em VMs do Azure usando o recurso de comando de execução do Azure. O recurso Azure Run Command permite que um usuário execute scripts do PowerShell em uma VM do Azure usando o Portal do Azure, a API REST ou o PowerShell sem o conhecimento das credenciais do Windows que são válidas na própria VM.

Escalonamento de privilégios

A Mandiant encontrou evidências de que o ator da ameaça usou o RDP para alternar entre sistemas que tinham acesso limitado à Internet. O ator da ameaça acessou vários dispositivos usando RDP e executou vários comandos nativos do Windows. Em um dispositivo, os atores da ameaça usaram o Gerenciador de Tarefas do Windows para despejar a memória do processo pertencente ao LSASS. O ator da ameaça também obteve a configuração do Azure AD Connect, a conta de serviço AD associada e o material da chave usado para criptografar as credenciais da conta de serviço. A conta do Azure AD Connect é usada para replicar a instância local do Active Directory para o Azure AD. Além disso, o agente da ameaça obteve o certificado de assinatura dos Serviços de Federação do Active Directory (ADFS) e o material da chave.

Os agentes de ameaças aproveitaram contas com privilégios comprometidos e usaram SMB, WMI remoto, registro de tarefas agendadas remotas e PowerShell para executar comandos nos ambientes de vítima. O agente da ameaça usou os protocolos principalmente para realizar o reconhecimento (principalmente usando o comando nativo tasklist.exe para inspecionar sistemas remotos), distribuir o BEACON pela rede, bem como executar comandos nativos do Windows para coleta de credenciais. Em alguns casos, os atores transmitiram um tíquete Kerberos específico durante a execução do WMIC usando o sinalizador / autoridade: Kerberos para autenticar como contas de computador. As contas de computador por design têm direitos de administrador local sobre o computador para o qual foram nomeadas.

Movimento lateral entre CSP e clientes a jusante

Os CSPs têm camadas de filtragem de rede entre seu ambiente local e os ambientes downstream do cliente como uma camada de segurança adicional. A Mandiant identificou que o ator da ameaça usou o vSphere PowerCLI e scripts personalizados do PowerShell configurados para direcionar o endpoint da Web do vCenter para exportar a imagem do disco virtual de um dispositivo de rede específico e copiá-lo da infraestrutura do provedor de serviços. Para se autenticar no vCenter, o ator da ameaça usou um cookie de sessão roubado para uma conta de gerenciamento de acesso privilegiado (PAM). A Mandiant acredita que o agente da ameaça foi capaz de analisar esta máquina virtual e identificar dispositivos dentro da rede do CSP que foram especificamente autorizados a se comunicar com clientes downstream direcionados.

Usando esse conhecimento, o ator comprometeu os hosts de salto de origem autorizados que contornaram as restrições de segurança de rede do provedor de serviços e da rede da vítima downstream. O ator comprometeu uma conta de administração do cliente de um dos hosts jump de administração usados ​​para administração do cliente dentro do ambiente do CSP. O CSP se conectaria por meio desses hosts de salto usando contas de administrador de cliente dedicadas para interagir com a infraestrutura de um cliente downstream. O ator então executou um movimento lateral por meio do RDP e das credenciais do alvo roubado em direção à rede do cliente vítima.

Em outro caso, o ator da ameaça usou o recurso interno Executar Comando do Azure para executar comandos em vários dispositivos downstream. O ator da ameaça usou ferramentas nativas do Windows para realizar o reconhecimento inicial, roubo de credenciais e implantar o Cobalt Strike BEACON em dispositivos via PowerShell.

O ator então usou este implante BEACON para instalar persistentemente o CEELOADER como uma tarefa agendada que era executada no login como SISTEMA em sistemas específicos. CEELOADER é um downloader que descriptografa uma carga útil do shellcode para executar na memória no dispositivo da vítima.

Coleção de dados

A Mandiant identificou várias tentativas do ator da ameaça de despejar o banco de dados do Active Directory (ntds.dit) usando o comando ntdsutil.exe integrado . Também houve evidências de que o agente da ameaça usou o Sysinternals ProcDump para despejar a memória do processo LSASS. Além disso, a Mandiant descobriu que o agente da ameaça roubou o certificado de assinatura de token do AD FS e o material da chave DKM. Isso permitiria que o ator da ameaça executasse ataques Golden SAML e se autenticasse como qualquer usuário em ambientes federados que usavam AD FS para autenticação, como o Microsoft 365.

Os atores da ameaça executaram o roubo de dados por meio de vários comandos do PowerShell, carregando vários arquivos sequenciais que terminam com a extensão .7z . O agente da ameaça carregou esses arquivos em um servidor da web que eles presumivelmente controlavam.

A Mandiant identificou binários que foram configurados para fazer upload de dados para o provedor de armazenamento em nuvem Mega. O agente da ameaça implantou a ferramenta na pasta %TEMP%\d como mt.exe e mtt.exe . Devido a vários erros cometidos pelo ator da ameaça, a Mandiant foi capaz de identificar que a execução da ferramenta renomeada falhou. Após investigação, parece que o binário do Megatools usado pelos atores da ameaça falha na execução se for renomeado. Devido a isso, não está claro se o ator foi capaz de exfiltrar dados com sucesso para Mega usando este método.

A Mandiant também observou o ator da ameaça acessar o servidor do SharePoint local da vítima em busca de documentação técnica e credenciais confidenciais. O ator da ameaça então usou as credenciais coletadas para mover-se lateralmente pela rede.

Roubo de identidade de aplicativo

O Microsoft Exchange e o Exchange Online fornecem uma função de representação (intitulada ApplicationImpersonation ) que concede a uma conta a capacidade de acessar a caixa de correio de outra conta e “agir como” o proprietário da caixa de correio. Mandiant identificou que o ator da ameaça foi capaz de se autenticar em uma conta existente que tinha anteriormente concedida a função ApplicationImpersonation; não está claro como o ator obteve esse acesso inicial.

Por meio dessa conta, a Mandiant testemunhou o uso de personificação do ator da ameaça para acessar várias caixas de correio pertencentes a usuários dentro da organização vítima. O ator da ameaça também criou uma nova conta dentro do ambiente Microsoft 365 que a Mandiant considera ser para acesso de backup em caso de detecção.

Infraestrutura de ator de ameaça

Acesso residencial à Internet

Em algumas campanhas, a Mandiant identificou que o ator da ameaça estava usando intervalos de endereços IP residenciais para se autenticar nos ambientes das vítimas. A Mandiant acredita que esse acesso foi obtido por meio de provedores de proxy de endereço IP residencial e móvel. Os provedores fazem proxy do tráfego por meio de dispositivos móveis reais, como telefones e tablets, empacotando legitimamente um aplicativo proxy em troca de aplicativos e / ou serviços gratuitos.

O ator usou esses serviços para acessar as caixas de correio dos locatários do Microsoft 365 vítimas. Ao fazer isso, o endereço IP de logon de origem pertence a um importante provedor de serviços de Internet que atende clientes no mesmo país que o ambiente da vítima. Essas táticas mostram a complexidade das operações do invasor e raramente são executadas por outros atores de ameaças. Conseguir isso pode tornar muito difícil para os investigadores diferenciar entre a atividade normal do usuário e a atividade do ator da ameaça.

Infraestrutura do Azure com localização geográfica

Em outra campanha, o agente da ameaça provisionou um sistema dentro do Microsoft Azure que estava próximo a um sistema legítimo hospedado pelo Azure pertencente ao CSP que eles usaram para acessar o ambiente do cliente. Isso permitiu ao ator estabelecer proximidade geográfica com as vítimas, o que resultou no endereço IP de origem registrado para a atividade originada de intervalos legítimos de IP do Azure. Semelhante à técnica de uso de endereços IP residenciais, o uso da infraestrutura do Azure próximo às redes das vítimas torna difícil para os investigadores diferenciar entre a atividade normal do usuário e a atividade do ator da ameaça.

Sites comprometidos do WordPress que hospedam cargas úteis de segundo estágio

Em várias campanhas do ator, Mandiant e nossos parceiros identificaram que o ator estava hospedando payloads de segundo estágio como blobs criptografados em sites legítimos que executam WordPress. A Mandiant observou pelo menos duas famílias de malware distintas atribuídas ao ator da ameaça hospedada em sites WordPress comprometidos.

Provedores de TOR, VPS e VPN

Em várias campanhas do ator da ameaça, a Mandiant testemunhou o uso de uma combinação de TOR, Virtual Private Servers (VPS) e Virtual Private Networks (VPN) para acessar os ambientes da vítima. Em uma campanha específica, a Mandiant identificou que o ator da ameaça executou o reconhecimento inicial por meio de um provedor de VPS localizado na mesma região da vítima. Mandiant acredita que uma configuração incorreta do ator da ameaça significa que os serviços VPN em execução no VPS pararam de funcionar após 8 horas. A Mandiant foi então capaz de identificar vários nós de saída de TOR que o ator da ameaça usava com base em novos eventos de autenticação.

Segurança operacional e planejamento

Mandiant identificou tentativas de comprometer várias contas dentro de um ambiente e manteve o uso de cada conta separada por função. Isso reduziu a probabilidade de que a detecção de uma atividade pudesse expor todo o escopo da intrusão. Mandiant encontrou evidências de que o ator comprometeu várias contas e usou uma com o único propósito de reconhecimento, enquanto as outras foram reservadas para movimento lateral dentro da organização. A Mandiant observou anteriormente esse ator de ameaça usando segurança operacional estrita para usar contas e sistemas específicos em ambientes de vítimas para atividades que costumam ser de alto risco, como roubo de dados e reconhecimento em grande escala.

Uma vez dentro de um ambiente, o ator da ameaça foi capaz de se transformar rapidamente em servidores locais e rastrear esses servidores em busca de documentação técnica e credenciais. A partir dessa documentação, o ator foi capaz de identificar uma rota para obter acesso à rede de seu alvo final. Esse reconhecimento mostra que o ator da ameaça tinha um objetivo final claro em mente e foi capaz de identificar e explorar uma oportunidade de obter a inteligência necessária para promover seus objetivos.

A Mandiant também observou esforços para evitar a detecção, contornando ou excluindo o registro do sistema dentro do ambiente da vítima. A saber, a Mandiant identificou o ator da ameaça desabilitando SysInternals Sysmon e Splunk Forwarders nas máquinas das vítimas que eles acessaram via Microsoft Remote Desktop, além de limpar os logs de eventos do Windows.

Descrições de malware

Cobalt Strike BEACON : Backdoor escrito em C/C ++ que faz parte do framework Cobalt Strike. Os comandos backdoor com suporte incluem execução de comando shell, transferência de arquivo, execução de arquivo e gerenciamento de arquivo. O BEACON também pode capturar pressionamentos de tecla e screenshots, bem como atuar como um servidor proxy. O BEACON também pode ser encarregado de coletar credenciais do sistema, varredura de portas e enumerar sistemas em uma rede. O BEACON se comunica com um servidor C&C via HTTP (S) ou DNS.

CEELOADER: Downloader escrito em linguagem de programação C. Ele oferece suporte a cargas úteis de código de shell que são executadas na memória. Uma ferramenta de ofuscação foi usada para ocultar o código em CEELOADER entre grandes blocos de código lixo com chamadas sem sentido para a API do Windows. As chamadas significativas para a API do Windows estão ocultas em funções de wrapper ofuscadas que descriptografam o nome da API e o resolvem dinamicamente antes de chamar. CEELOADER se comunica via HTTP e a resposta C&C é descriptografada usando AES-256 no modo CBC. Além disso, a solicitação HTTP contém um id definido estaticamente que pode variar de amostra para amostra. CEELOADER não contém um mecanismo de persistência.

Atribuição

A Mandiant avalia que parte dessa atividade é UNC2652, um cluster de atividade observada visando entidades diplomáticas com e-mails de phishing contendo anexos HTML com JavaScript malicioso, acabando por derrubar um iniciador BEACON.

A Mandiant também avalia que parte dessa atividade é UNC3004, um grupo de atividades observadas visando entidades governamentais e empresariais por meio do acesso a Provedores de Soluções em Nuvem / Provedores de Serviços Gerenciados para obter acesso aos clientes downstream.

Microsoft tem relatado anteriormente em ambos UNC2652 e UNC3004 atividade e associa-o UNC2452, o grupo por trás do compromisso SolarWinds, sob o nome “nobélio”. Embora seja plausível que eles sejam o mesmo grupo, atualmente a Mandiant não tem evidências suficientes para fazer essa determinação com alta confiança.

Outlook e implicações

Essa atividade de intrusão reflete um conjunto de atores de ameaças com bons recursos, operando com um alto nível de preocupação com a segurança operacional. O abuso de terceiros, neste caso um CSP, pode facilitar o acesso a uma ampla gama de vítimas em potencial por meio de um único acordo. Embora a Mandiant não possa atualmente atribuir esta atividade com maior confiança, a segurança operacional associada a esta intrusão e exploração de um terceiro é consistente com as táticas empregadas pelos atores por trás do compromisso SolarWinds e destaca a eficácia de alavancar terceiros e relacionamentos com fornecedores de confiança para realizar operações nefastas.

Reconhecimentos

Centenas de consultores, analistas e engenheiros reversos trabalharam juntos para entender e rastrear esses incidentes de segurança no ano passado. Esse grupo maior construiu uma base de conhecimento que nos permite continuar acompanhando esse ator. Gostaríamos de agradecer especificamente a Luis Rocha, Marius Fodoreanu, Mitchell Clarke, Manfred Erjak, Josh Madeley, Ashraf Abdalhalim e Juraj Sucik da Mandiant Consulting e Wojciech Ledzion, Gabriella Roncone, Jonathan Leathery e Ben Read da Mandiant Intelligence por sua ajuda na escrita e revisando este blog.

Agradecimentos especiais também às equipes Microsoft DART e MSTIC por sua colaboração contínua.

Remediação

A Mandiant recomenda que as organizações revisem e implementem as mudanças sugeridas no artigo Mandiant a seguir, que foi atualizado recentemente para incluir conselhos sobre a função de representação de aplicativos e relações de confiança com provedores de serviços em nuvem e seus clientes.

Destaques técnicos para auxiliar investigações ou caça

Diretórios de teste recentes:

• %PROGRAMFILES%\Microsoft SQL Server\ms
• %WINDIR%\Temp
• %WINDIR%\Temp\d

Nomes de teste recentes:

Nomes de tarefas agendadas recentes:

• Microsoft Diagnostics
• Microsoft Azure Diagnostics
• Google Chrome Update

Ferramentas administrativas ou utilitárias recentes:

• Azure Run Command
• Sysinternals Handle
• Sysinternals MoveFile
• ntdsutil
• netstat
• net
• tasklist
• RAR / 7zip
• AADInternals
• vSphere PowerCLI
• Sysinternals Procdump
• Windows Task Manager

Indicadores de compromisso

Hashes para atividades conhecidas:

• diag.ps1 (MD5: 1d3e2742e922641b7063db8cafed6531)
  • Malware BEACON.SMB conectando-se a \\. \ Pipe \ chrome.5687.8051.183894933787788877a1
• vcredist.ps1 (MD5: 273ce653c457c9220ce53d0dfd3c60f1)
  • Malware BEACON conectando-se via HTTPS a nordicmademedia[.]com
• logo.png (MD5: 3304036ac3bbf6cb2205e30226c89a1a)
  • Hospedado em http://23.106.123[.]15/logo.png
  • Malware BEACON conectado via HTTPS a stonecrestnews.com
• LocalData.dll (MD5: 3633203d9a93fecfa9d4d9c06fc7fe36)
  • Malware CEELOADER que obtém uma carga de http://theandersonco[.]com  wp_info.php
• Desconhecido (MD5: e5aacf3103af27f9aaafa0a74b296d50)
  • Malware BEACON conectando-se via HTTPS a nordicmademedia[.]com
• DiagView.dll (MD5: f3962456f7fc8d10644bf051ddb7c7ef )
  • Malware CEELOADER que obtém uma carga útil de http://tomasubiera[.]com/ wp_getcontent.php

Endereços IP usados ​​para autenticação por meio de provedores VPN públicos:

Nota: Mandiant removeu endereços anônimos desta lista, os endereços restantes são de provedores de hospedagem legítimos.

• 20.52.144[.]179
• 20.52.156[.]76
• 20,52,47[.]99
• 51.140.220[.]157
• 51,104,51[.]92
• 146,105,10[.]215
• 176,67,86[.]130
• 176,67,86[.]52

Endereços IP usados ​​para autenticação de provedores de proxy móvel:

• 216,155,158[.]133
• 63,75,244[.]119
• 63.162.179[.]166
• 63.162.179[.]94
• 63,75,245[.]144
• 63,75,245[.]239
• 63,75,247[.]114

Endereços IP usados ​​para comando e controle:

• 91,234,254[.]144
• 23,106.123[.]15

Endereços de URL usados ​​para comando e controle:

• nordicmademedia[.]com
• stonecrestnews[.]com

Endereços de URL de sites WordPress comprometidos que hospedam cargas úteis CEELOADER:

Nota: Mandiant acredita que o ator hospedou uma carga maliciosa nos seguintes domínios.

• tomasubiera[.]com
• theandersonco[.]com

Técnicas MITRE ATT&CK observadas

Categoria de tática ATT e CK	Técnicas
Desenvolvimento de Recursos	Adquirir infraestrutura (T1583) Servidor privado virtual (T1583.003) Infraestrutura comprometida (T1584) Capacidades de palco (T1608) Destino do link (T1608.005) Obtenha capacidades (T1588) Certificados digitais (T1588.004)
Acesso Inicial	Phishing (T1566) Anexo de Spearphishing (T1566.001) Link de Spearphishing (T1566.002) Serviços remotos externos (T1133) Contas válidas (T1078) Relação de confiança (T1199)
Execução	Execução do usuário (T1204) Link malicioso (T1204.001) Arquivo malicioso (T1204.002) Intérprete de comandos e scripts (T1059) PowerShell (T1059.001) Shell de comando do Windows (T1059.003) JavaScript (T1059.007) Tarefa / trabalho agendado (T1053) Tarefa agendada (T1053.005) Instrumentação de gerenciamento do Windows (T1047)
Persistência	Execução de inicialização automática de inicialização ou logon (T1547) Chaves de execução do registro / pasta de inicialização (T1547.001) Modificação de atalho (T1547.009) Tarefa / trabalho agendado (T1053) Tarefa agendada (T1053.005) Serviços remotos externos (T1133) Contas válidas (T1078)
Escalonamento de privilégios	Injeção de processo (T1055) Manipulação de token de acesso (T1134) Falsificação de identidade / roubo de token (T1134.001) Execução de inicialização automática de inicialização ou logon (T1547) Modificação de atalho (T1547.009) Contas válidas (T1078) Tarefa agendada (T1053) Tarefa agendada (T1053.005)
Evasão de Defesa	Injeção de processo (T1055) Manipulação de token de acesso (T1145) Remoção do indicador no host (T1070) Ocultar artefatos (T1564) Janela oculta (T1564.003) Remoção do indicador no host (T1070) Limpar logs de eventos do Windows (T1070.001) Exclusão de arquivo (T1070.004) Timestomp (T1070.006) Arquivos ou informações ofuscados (T1027) Remoção do indicador das ferramentas (T1027.005) Virtualização / Evasão de Sandbox (T1497) Verificações do sistema (T1497.004) Modificar registro (T1112) Desofuscar / decodificar arquivos ou informações (T1140) Carregamento de código reflexivo (T1620) Contas válidas (T1078)
Acesso de credencial	Despejo de credencial de sistema operacional (T1003) NTDS (T1003.003) Keylogging (T1003.001)
Descoberta	Descoberta de informações do sistema (T1082) Detecção de arquivos e diretórios (T1083) Descoberta de conta (T1087) Conta local (T1087.001) Conta de domínio (T1087.002) Descoberta de configuração de rede do sistema (T1016) Virtualização / Evasão de Sandbox (T1497) Verificações do sistema (T1497.001) Proprietário do sistema / descoberta do usuário (T1033) Detecção de conexões de rede do sistema (T1049) Digitalização de serviço de rede (T1046) Descoberta de processo (T1057) Descoberta de serviço do sistema (T1007) Detecção de grupos de permissão (T1069) Descoberta de software (T1518) Registro de consulta (T1012)
Movimento lateral	Serviços Remotos (T1021) Protocolo de Área de Trabalho Remota (T1021.001) SSH (T1021.004)
Coleção	Arquivo de dados coletados (T1560) Arquivo via utilitário (T1560.001) Dados de Repositórios de Informações (T1213) Sharepoint (T1213.002) Captura de entrada (T1056) Keylogging (T1056.001)
Comando e controle	Serviço da Web (T1102) Protocolo de camada de aplicativo (T1071) Protocolos da Web (T1071.001) DNS (T1071.004) Canal criptografado (T1573) Criptografia assimétrica (T1573.002) Protocolo de camada de não aplicativo (T1095) Porta não padrão (T1571) Transferência de ferramenta de ingresso (T1105)
Exfiltração	Limites de tamanho de transferência de dados (T1030)
Impacto	Parada de serviço (T1489)
Descoberta	Descoberta de configuração de rede do sistema (T1016)

 

 

Fonte: Mandiant