•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
  • Публикации
  • Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации
  1. Главная
  2. Публикации
  3. Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации
Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации
22 октября 2025

Отчеты Dr.Web vxCube о целенаправленных атаках интегрированы с матричной структурой MITRE ATT&CK для структурированного представления информации

«Доктор Веб» представляет обновленную версию Dr.Web vxCube. Основное изменение — наложение отчета песочницы на Enterprise-матрицу MITRE ATT&CK, что позволяет объединить результаты анализа с базой знаний о тактиках и техниках атакующих. Результат: более точная оценка вредоносности исследуемых образцов и выстраивание хронологии атаки. Матрица MITRE ATT&CK в формате базы знаний описывает тактики и техники киберпреступников, атакующих информационные системы, — это позволяет специалистам по информационной безопасности получать готовые данные для повышения эффективности защиты инфраструктуры.

Данное обновление дает специалистам возможность не просто видеть технический отчет о действиях потенциально вредоносного объекта, но и фиксировать цепочку действий: как объект проник в систему и заразил ее. На основе этой информации станет понятно, где стоит «укрепить» защиту и изменить политики безопасности. Более того, на основе обнаруженных техник и тактик можно создать специальные правила для добавления в SOC и SIEM-системы.

Для наглядности предлагаем разобрать один из отчетов, полученных после проведения анализа известного шифровальщика в новой версии Dr.Web vxCube:
1. Тактика: Initial Access («первоначальный доступ»)
Техника: Replication Through Removable Media («распространение через съемные носители»)
Источником заражения выступил съемный носитель, на который злоумышленник загрузил вредоносную программу.  Возможно, сотрудник использовал личную зараженную USB-флешку.
2. Тактика: Execution («выполнение»)
Техника: Windows Management Instrumentation (WMI) («Инструментарий управления Windows (WMI)»)
Как только флешка вставлена в компьютер, срабатывает механизм автозапуска (например, через autorun.inf). Шифровальщик использует системный инструмент WMI для выполнения своей основной нагрузки. Это помогает ему избежать простых антивирусов, так как WMI — легальный инструмент администрирования.
3. Тактики: Persistence & Privilege Escalation («закрепление и повышение привилегий»)
Техника: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder («автозапуск при загрузке или входе в систему: ключи запуска в реестре / папка автозагрузки»)
Чтобы пережить перезагрузку компьютера и получить контроль при следующем входе пользователя в систему, шифровальщик прописывает себя в автозагрузку. Он создает запись в реестре или копирует себя в папку «Автозагрузка». Зачастую этот шаг также позволяет ему повысить привилегии до уровня текущего пользователя.
4. Тактика: Defense Evasion («обход защиты»)
Техника: Indicator Removal: File Deletion («удаление индикаторов: удаление файлов»)
После того как шифровальщик закрепился в системе, он начинает «заметать следы». Он удаляет свой оригинальный исполняемый файл с флешки или из временной папки, чтобы усложнить обнаружение и анализ антивирусным экспертам.
5. Тактика: Lateral Movement («перемещение внутри периметра»)
Техника: Replication Through Removable Media («распространение через съемные носители»)
Вредоносная программа не прекращает свою деятельность на одном компьютере. Она мониторит подключение новых USB-накопителей и заражает их. Теперь, когда сотрудник возьмет свою рабочую флешку и вставит ее в другой компьютер, атака повторится. Так вирус «перепрыгивает» через воздушные зазоры (air-gaps) внутри сети.
6. Тактика: Impact («воздействие»)
Техники: Inhibit System Recovery и Data Encrypted for Impact («Препятствование восстановлению системы и шифрование данных»)
Inhibit System Recovery («препятствование восстановлению системы»): шифровальщик пытается уничтожить или зашифровать теневое копирование Volume Shadow Copy Service (VSS), чтобы жертва не могла восстановить файлы стандартными средствами Windows. 
Data Encrypted for Impact («шифрование данных»): программа шифрует все важные файлы на компьютере (документы, фото, базы данных) с помощью мощного алгоритма. После этого на экране появляется сообщение с требованием выкупа за ключ дешифрования.

На основе этого специалист по информационной безопасности может предпринять следующие меры, чтобы предотвратить заражения схожими вредоносными программами:

✔ Ужесточить политики использования USB-устройств (запрет автозапуска, применение только корпоративных флешек с шифрованием).
✔ Настроить системы мониторинга на обнаружение подозрительных записей в реестре автозагрузки и использование WMI для выполнения вредоносных скриптов.
✔ Внедрить сегментацию сети, чтобы ограничить распространение угрозы.
✔ Обеспечить регулярное и защищенное резервное копирование данных для возможности восстановления.
Новшество доступно как в облачной, так и в локальной (on-premise) версиях Dr.Web vxCube, распространяется на исследования в средах ОС Windows и Linux и доступно только на английском языке. Разработчики «Доктор Веб» планируют добавить анализ в среде ОС Android, а также перевести базы знаний и техник, чтобы упростить работу с матрицей. 

Помимо этого, обновлена документация к песочнице. В связи с выходом новой версии, облачная версия Dr.Web vxCube будет недоступна 23 октября в период с 13:00 до 14:00 по московскому времени.
Для обновления локальной версии потребуется загрузить новые версии дистрибутива Dr.Web vxCube и образов виртуальных машин,  а также переустановить ПО согласно документации. Для загрузки обновленной версии воспользуйтесь Мастером скачивания. 

Dr.Web vxCube — инструмент для анализа подозрительных объектов в изолированной виртуальной среде. Он позволяет выявлять индикаторы компрометации и предотвращать атаки, включая целевые (APT). Песочница доступна в двух вариантах: облачном и локальном (on-premise). 
Купить (ITF-VK-*, ITF-VI-*) Dr.Web vxCube - Анализатор подозрительных файлов (песочница)

Данное обновление содержит базу знаний из MITRE ATT&CK®. Использование этой базы знаний осуществляется на основании лицензии предоставленной The MITRE Corporation.
© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Условия использования MITRE ATT&CK®

ЛИЦЕНЗИЯ
Корпорация MITRE (MITRE) настоящим предоставляет вам неисключительную, безвозмездную лицензию на использование ATT&CK® в исследовательских, опытно-конструкторских и коммерческих целях. Любое копирование, сделанное вами в таких целях, разрешено при условии, что вы воспроизведете обозначение авторских прав MITRE и настоящую лицензию в любой такой копии.

© 2025 The MITRE Corporation. Данная работа воспроизводится и распространяется с разрешения The MITRE Corporation.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ
MITRE не утверждает, что ATT&CK перечисляет все возможные типы действий и поведения, задокументированные в рамках её модели противника и структуры техник. Использование информации, содержащейся в ATT&CK, для рассмотрения или охвата всех категорий техник не гарантирует полного охвата защиты, поскольку могут существовать нераскрытые техники или вариации существующих техник, не задокументированные ATT&CK.

ВСЕ ДОКУМЕНТЫ И СОДЕРЖАЩАЯСЯ В НИХ ИНФОРМАЦИЯ ПРЕДОСТАВЛЯЮТСЯ НА УСЛОВИЯХ «КАК ЕСТЬ», И АВТОР, ОРГАНИЗАЦИЯ, КОТОРУЮ ОН/ОНА ПРЕДСТАВЛЯЕТ ИЛИ КОТОРАЯ СПОНСИРУЕТСЯ (ЕСЛИ ТАКОВА ИМЕЕТСЯ), КОРПОРАЦИЯ MITRE, ЕЕ СОВЕТ ПОПЕЧИТЕЛЕЙ, ДОЛЖНОСТНЫЕ ЛИЦА, АГЕНТЫ И СОТРУДНИКИ ОТКАЗЫВАЮТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ЛЮБЫЕ ГАРАНТИИ ТОГО, ЧТО ИСПОЛЬЗОВАНИЕ СОДЕРЖАЩЕЙСЯ В НИХ ИНФОРМАЦИИ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ ЛЮБЫХ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ ТОВАРНОЙ ПРИГОДНОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ..

Материал подготовлен: «Доктор Веб»




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Теги:
Публикации
Все публикации
Важное
Import_sec-centre.png
Пришлите готовый запрос на E-mail
или заполните форму

Отправить запрос
Тренды

Популярное

19.03.2026

(Datasystem) Примеры реализации концепции "Security Center" в программных продуктах ведущих Производителей рынка IT Security

Концепция «Security Center» (или «Центр информационной безопасности») — это подход, при котором управление всеми аспектами информационной безопасности организации осуществляется из единого центра. Такой центр позволяет централизованно контролировать защиту сети, серверов, рабочих станций, мобильных устройств, а также оперативно реагировать на инциденты и анализировать угрозы. Рассмотрим примеры реализации этой концепции в продуктах ведущих производителей рынка IT Security.

03.04.2026

(Security Center) Преимущества внедрения Единого центра информационной безопасности (ЕЦИБ) для компании

Внедрение Единого центра информационной безопасности (ЕЦИБ) — это стратегический шаг, который позволяет компании не только повысить уровень защиты, но и оптимизировать процессы управления информационной безопасностью (ИБ)

06.04.2026

Платформа «Аврора Центр» успешно интегрирована с операционной системой «Альт Рабочая станция К»

В результате сотрудничества компаний «Базальт СПО» и «Открытая мобильная платформа» подтверждена корректная работа операционной системы «Альт Рабочая станция К» с платформой управления корпоративными устройствами «Аврора Центр». Факт совместимости зафиксирован двусторонним сертификатом.

24.02.2026

Datasystem: Какие требования предъявляются к безопасности данных при использовании OCR-решений в госучреждениях?

Соблюдение перечисленных требований гарантирует надежную защиту данных и предотвращает случаи утечек или злоупотреблений в государственном секторе.

26.02.2026

Datasystem: Прогноз развития больших языковых моделей (LLM) в будущем

Большие языковые модели (Large Language Models, LLM) продолжают стремительно развиваться, меняя наши представления о возможностях искусственного интеллекта.

04.03.2026

«СтройТрансНефтеГаз» начал использовать российское ПО ContentReader PDF в ходе цифровой модернизации

Крупнейший игрок российского строительства — АО «СтройТрансНефтеГаз» (АО «СТНГ») — объявил о выборе отечественного продукта ContentReader PDF от компании Content AI для работы с файлами PDF. Это решение принято в рамках политики цифровой трансформации предприятия.

05.02.2026

Исследования «Лаборатории Касперского»: новая кампания кибератак группы Stan Ghouls против организаций СНГ

Специалисты «Лаборатории Касперского» провели исследование активности хакерской группировки Stan Ghouls, выявив новую волну нападений на ключевые отрасли стран СНГ, включая Россию

18.02.2026

«Лаборатория Касперского» обозначила возможные цифровые опасности будущего в концепции «серых лебедей»

Основная масса предсказаний базируется на разумных предположениях о развитии технологий

30.01.2026

«Лаборатория Касперского»: Российские медицинские учреждения подверглись массированным кибератакам, замаскированным под обращения крупных страховщиков и клиник

Преступники распространяют фишинговые письма с опасными файлами, способными заразить компьютеры сотрудников

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.