T1204: ВИКОНАННЯ КОРИСТУВАЧЕМ
Зловмисник покладається на конкретні дії користувача для запуску шкідливого коду. Це досягається шляхом соціальної інженерії: переконання жертви відкрити файл, перейти за посиланням або вручну скопіювати та виконати команду. Техніка часто є логічним продовженням фішингу і може застосовуватися не лише для початкового доступу, а й для розповсюдження всередині мережі через спільні папки.
ТЕХНІЧНИЙ ОПИС
Зловмисник може покладатися на конкретні дії користувача, щоб отримати можливість виконання коду. Користувачі можуть піддаватися соціальній інженерії, щоб змусити їх виконати шкідливий код, наприклад, шляхом відкриття шкідливого файлу документа або посилання. Такі дії користувачів зазвичай спостерігаються як подальша поведінка після різних форм фішингу (Phishing).
Хоча виконання користувачем часто відбувається невдовзі після початкового доступу (Initial Access), воно може статися і на інших етапах вторгнення. Наприклад, коли зловмисник розміщує файл у спільній директорії або на робочому столі користувача, сподіваючись, що той натисне на нього. Ця активність також може спостерігатися невдовзі після внутрішнього цільового фішингу (Internal Spearphishing).
Зловмисники також можуть вводити користувачів в оману, змушуючи їх виконувати такі дії:
- Активація інструментів віддаленого достути (Remote Access Tools), що надає зловмиснику прямий контроль над системою.
- Запуск шкідливого JavaScript у браузері, що дозволяє зловмисникам викрадати файли cookie веб-сесій (Steal Web Session Cookies).
- Завантаження та запуск шкідливого ПЗ.
- Примушення користувачів вручну копіювати, вставляти та виконувати шкідливий код.
Наприклад, шахрайство під виглядом технічної підтримки може здійснюватися через фішинг, вішинг (голосовий фішинг) або інші форми взаємодії з користувачем. Зловмисники можуть використовувати комбінацію цих методів, наприклад, підміну номерів (spoofing) та просування безкоштовних номерів або кол-центрів, які використовуються для спрямування жертв на шкідливі веб-сайти для доставки та виконання навантажень, що містять шкідливе ПЗ або інструменти віддаленого доступу.
Чому це працює?
- Довіра: Лист від «колеги» або «системного адміністратора» знижує пильність.
- Терміновість: Повідомлення про «термінову зміну пароля» або «штраф» змушує діяти швидко, не замислюючись.
- Обхід технічного захисту: Антивірус може не заблокувати легітимну програму віддаленого доступу, яку користувач встановив сам.