| Recon |
Сбор данных |
Пассивный/активный OSINT — Subdomain-enum, LinkedIn-скрап, Shodan, FOFA, Spiderfoot |
| Weaponize |
«Сборка эксплойта» офлайн |
Cobalt Strike (Beacon и malleable C2), Sliver (Go-импланты, mTLS/WireGuard), Mythic (модульный C2), обфускация, отладка, обход EDR |
| Nimcrypt-loader — загрузчик, написанный на Nim: при компиляции шифрует полезную нагрузку, а затем разворачивает её через прямые syscalls, обходя большинство EDR-хуков. |
|
|
| Deliver |
Доставка пейлоада |
Фишинг-письмо с ссылкой либо USB; вложения HTA / ISO / LNK |
| Exploit |
Эксплуатация |
RCE через Word-макро, CVE в веб-сервере |
| Install |
Установка бекдора/закрепление в системе |
Implant / Service, Scheduled Task, |
Run-key — ключ реестра Windows (HKCU/Run или HKLM/Run), куда добавляют свою строку, чтобы payload автоматически запускался при каждом логине пользователя. |
|
|
| Donut-shellcode — shellcode, сгенерированный утилитой Donut: превращает PE/.NET-файл в позиционно-независимый, AES-зашифрованный код, который исполняется прямо в памяти без записи на диск. |
|
|
| Command & Control (C2) |
Получение доступа, управление целевой системой |
HTTPS Beacon, DNS-tunnel, CDN-fronting (a.k.a. domain fronting) — это приём маскировки трафика, когда запросы к вашему C2 идут через крупный CDN (CloudFront, Azure Front Door, Fastly и т. д.), Pass-the-Hash/Ticket, SMB-/WinRM-pivot, RDP-tunnel; LPE (SeImpersonate, Potato), Kerberoasting; Exfil (Rclone over TLS), DCShadow, ransomware-simulation.Ask |
| Objective / Actions on Objs |
Достижение цели, воздействия на целевую систему |
Экфильтрация данных, привилегия Domain Admin, саботаж, чек-лист MTTD/MTTR |
| Экфильтрация данных: Rclone по TLS, выгрузка SMB → S3, «капельная» передача через DNS-over-HTTPS.Повышение привилегий до Domain Admin: DCSync, Golden Ticket.Саботаж: отключение бэкапов, имитация wiper или ransomware.Сбор метрик: KPI MTTD/MTTR для отчёта. |
|
|