•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
  • Публикации
  • Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации
  1. Главная
  2. Публикации
  3. Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации
Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации
22 октября 2025

Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации

«Доктор Веб» представляет обновленную версию Dr.Web vxCube. Основное изменение — наложение отчета песочницы на Enterprise-матрицу MITRE ATT&CK, что позволяет объединить результаты анализа с базой знаний о тактиках и техниках атакующих. Результат: более точная оценка вредоносности исследуемых образцов и выстраивание хронологии атаки. Матрица MITRE ATT&CK в формате базы знаний описывает тактики и техники киберпреступников, атакующих информационные системы, — это позволяет специалистам по информационной безопасности получать готовые данные для повышения эффективности защиты инфраструктуры.

Данное обновление дает специалистам возможность не просто видеть технический отчет о действиях потенциально вредоносного объекта, но и фиксировать цепочку действий: как объект проник в систему и заразил ее. На основе этой информации станет понятно, где стоит «укрепить» защиту и изменить политики безопасности. Более того, на основе обнаруженных техник и тактик можно создать специальные правила для добавления в SOC и SIEM-системы.

Для наглядности предлагаем разобрать один из отчетов, полученных после проведения анализа известного шифровальщика в новой версии Dr.Web vxCube:
1. Тактика: Initial Access («первоначальный доступ»)
Техника: Replication Through Removable Media («распространение через съемные носители»)
Источником заражения выступил съемный носитель, на который злоумышленник загрузил вредоносную программу.  Возможно, сотрудник использовал личную зараженную USB-флешку.
2. Тактика: Execution («выполнение»)
Техника: Windows Management Instrumentation (WMI) («Инструментарий управления Windows (WMI)»)
Как только флешка вставлена в компьютер, срабатывает механизм автозапуска (например, через autorun.inf). Шифровальщик использует системный инструмент WMI для выполнения своей основной нагрузки. Это помогает ему избежать простых антивирусов, так как WMI — легальный инструмент администрирования.
3. Тактики: Persistence & Privilege Escalation («закрепление и повышение привилегий»)
Техника: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder («автозапуск при загрузке или входе в систему: ключи запуска в реестре / папка автозагрузки»)
Чтобы пережить перезагрузку компьютера и получить контроль при следующем входе пользователя в систему, шифровальщик прописывает себя в автозагрузку. Он создает запись в реестре или копирует себя в папку «Автозагрузка». Зачастую этот шаг также позволяет ему повысить привилегии до уровня текущего пользователя.
4. Тактика: Defense Evasion («обход защиты»)
Техника: Indicator Removal: File Deletion («удаление индикаторов: удаление файлов»)
После того как шифровальщик закрепился в системе, он начинает «заметать следы». Он удаляет свой оригинальный исполняемый файл с флешки или из временной папки, чтобы усложнить обнаружение и анализ антивирусным экспертам.
5. Тактика: Lateral Movement («перемещение внутри периметра»)
Техника: Replication Through Removable Media («распространение через съемные носители»)
Вредоносная программа не прекращает свою деятельность на одном компьютере. Она мониторит подключение новых USB-накопителей и заражает их. Теперь, когда сотрудник возьмет свою рабочую флешку и вставит ее в другой компьютер, атака повторится. Так вирус «перепрыгивает» через воздушные зазоры (air-gaps) внутри сети.
6. Тактика: Impact («воздействие»)
Техники: Inhibit System Recovery и Data Encrypted for Impact («Препятствование восстановлению системы и шифрование данных»)
Inhibit System Recovery («препятствование восстановлению системы»): шифровальщик пытается уничтожить или зашифровать теневое копирование Volume Shadow Copy Service (VSS), чтобы жертва не могла восстановить файлы стандартными средствами Windows. 
Data Encrypted for Impact («шифрование данных»): программа шифрует все важные файлы на компьютере (документы, фото, базы данных) с помощью мощного алгоритма. После этого на экране появляется сообщение с требованием выкупа за ключ дешифрования.

На основе этого специалист по информационной безопасности может предпринять следующие меры, чтобы предотвратить заражения схожими вредоносными программами:

✔ Ужесточить политики использования USB-устройств (запрет автозапуска, применение только корпоративных флешек с шифрованием).
✔ Настроить системы мониторинга на обнаружение подозрительных записей в реестре автозагрузки и использование WMI для выполнения вредоносных скриптов.
✔ Внедрить сегментацию сети, чтобы ограничить распространение угрозы.
✔ Обеспечить регулярное и защищенное резервное копирование данных для возможности восстановления.
Новшество доступно как в облачной, так и в локальной (on-premise) версиях Dr.Web vxCube, распространяется на исследования в средах ОС Windows и Linux и доступно только на английском языке. Разработчики «Доктор Веб» планируют добавить анализ в среде ОС Android, а также перевести базы знаний и техник, чтобы упростить работу с матрицей. 

Помимо этого, обновлена документация к песочнице. В связи с выходом новой версии, облачная версия Dr.Web vxCube будет недоступна 23 октября в период с 13:00 до 14:00 по московскому времени.
Для обновления локальной версии потребуется загрузить новые версии дистрибутива Dr.Web vxCube и образов виртуальных машин,  а также переустановить ПО согласно документации. Для загрузки обновленной версии воспользуйтесь Мастером скачивания. 

Dr.Web vxCube — инструмент для анализа подозрительных объектов в изолированной виртуальной среде. Он позволяет выявлять индикаторы компрометации и предотвращать атаки, включая целевые (APT). Песочница доступна в двух вариантах: облачном и локальном (on-premise). 
Купить (ITF-VK-*, ITF-VI-*) Dr.Web vxCube - Анализатор подозрительных файлов (песочница)

Данное обновление содержит базу знаний из MITRE ATT&CK®. Использование этой базы знаний осуществляется на основании лицензии предоставленной The MITRE Corporation.
© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Условия использования MITRE ATT&CK®

ЛИЦЕНЗИЯ
Корпорация MITRE (MITRE) настоящим предоставляет вам неисключительную, безвозмездную лицензию на использование ATT&CK® в исследовательских, опытно-конструкторских и коммерческих целях. Любое копирование, сделанное вами в таких целях, разрешено при условии, что вы воспроизведете обозначение авторских прав MITRE и настоящую лицензию в любой такой копии.

© 2025 The MITRE Corporation. Данная работа воспроизводится и распространяется с разрешения The MITRE Corporation.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ
MITRE не утверждает, что ATT&CK перечисляет все возможные типы действий и поведения, задокументированные в рамках её модели противника и структуры техник. Использование информации, содержащейся в ATT&CK, для рассмотрения или охвата всех категорий техник не гарантирует полного охвата защиты, поскольку могут существовать нераскрытые техники или вариации существующих техник, не задокументированные ATT&CK.

ВСЕ ДОКУМЕНТЫ И СОДЕРЖАЩАЯСЯ В НИХ ИНФОРМАЦИЯ ПРЕДОСТАВЛЯЮТСЯ НА УСЛОВИЯХ «КАК ЕСТЬ», И АВТОР, ОРГАНИЗАЦИЯ, КОТОРУЮ ОН/ОНА ПРЕДСТАВЛЯЕТ ИЛИ КОТОРАЯ СПОНСИРУЕТСЯ (ЕСЛИ ТАКОВА ИМЕЕТСЯ), КОРПОРАЦИЯ MITRE, ЕЕ СОВЕТ ПОПЕЧИТЕЛЕЙ, ДОЛЖНОСТНЫЕ ЛИЦА, АГЕНТЫ И СОТРУДНИКИ ОТКАЗЫВАЮТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ЛЮБЫЕ ГАРАНТИИ ТОГО, ЧТО ИСПОЛЬЗОВАНИЕ СОДЕРЖАЩЕЙСЯ В НИХ ИНФОРМАЦИИ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ ЛЮБЫХ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ ТОВАРНОЙ ПРИГОДНОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ..

Материал подготовлен: «Доктор Веб»




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Теги:
Публикации
Все публикации
Важное
Import_sec-centre.png
Пришлите готовый запрос на E-mail
или заполните форму

Отправить запрос
Тренды

Популярное

03.11.2025

Как заставить производителей соблюдать условия лицензий GPL и где производят свободно распространяемых роботов: выводы XXI конференции создателей свободного программного обеспечения

С 3 по 5 октября 2025 года в городе Переславль-Залесский прошла XXI конференция разработчиков свободного программного обеспечения. Мероприятие посетило свыше 2 тысяч участников, присутствовавших лично и подключившихся удаленно. Организацию события взяли на себя компания «Базальт СПО» и Институт программных систем имени А.К. Айламазяна Российской академии наук (ИПС РАН)

07.11.2025

Компания «Доктор Веб» сообщила о кибератаках хакерской группировки Cavalry Werewolf на госучреждения России

В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети

01.10.2025

«Доктор Веб»: обзор вирусной активности в III квартале 2025 года

Согласно статистике детектирований антивируса Dr.Web, в III квартале 2025 года общее число обнаруженных угроз снизилось на 4,23% по сравнению со II кварталом. При этом количество уникальных угроз увеличилось на 2,17%. Чаще всего на защищаемых устройствах обнаруживалось нежелательное рекламное ПО, рекламные трояны и вредоносные скрипты. В почтовом трафике преобладали вредоносные скрипты, бэкдоры, и различные троянские программы, такие как загрузчики, дропперы и похитители паролей

02.10.2025

«Лаборатория Касперского» анонсировала программу международной конференции Security Analyst Summit (SAS) 2025, которая пройдёт в Таиланде с 26 по 29 октября

Ожидается участие 200 гостей из разных стран. В этом году одной из ключевых тем станет кибербезопасность автомобилей

15.08.2025

Дубль два: Scaly Wolf с упорством желает заполучить секреты российского машиностроительного предприятия

В конце июня 2025 года в компанию «Доктор Веб» обратились представители российского предприятия машиностроительного сектора c просьбой выяснить, являются ли периодические срабатывания антивируса на одном из компьютеров признаком заражения или же вызваны неким сбоем. Расследование инцидента показало, что реакция антивируса оказалась штатной, а предприятие подверглось целевой атаке

11.03.2025

Исследование целевой атаки на российское предприятие машиностроительного сектора

В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров.

02.08.2025

«Альт Виртуализация» 11.0: быстрая установка, поддержка SDN, обновление через веб-интерфейс, простая миграция из VMware

«Базальт СПО» выпустила операционную систему «Альт Виртуализация» на 11 платформе

14.07.2025

Исследование Киберпротекта и «Работы.ру»: 74% малых компаний готовы усиливать киберзащиту только по требованию закона

Более половины российских компаний сегмента МСП планируют увеличить траты на информационную безопасность в 2025 году, однако большинство готовы укреплять защиту лишь в ответ на внешнее давление. Так, 74% компаний заявляют, что готовы действовать только в случае введения новых требований регулятора — такие данные представлены во второй части исследования ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру»

25.06.2025

Злоумышленники маскируют вредоносное ПО под Zoom и ChatGPT для кибератак на малый и средний бизнес в России

Среди файлов-приманок, мимикрирующих под популярные программы, встречались загрузчики, троянцы и рекламное ПО

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.