Т3.14. Планирование запуска вредоносных программ при старте операционной системы путем эксплуатации стандартных механизмов, в том числе путем правки ключей реестра, отвечающих за автоматический запуск программ, запуска вредоносных программ как сервисов и т.п.

Запись в ключ реестра Run.

Т3.7. Подмена файлов легитимных программ и библиотек непосредственно в системе.

Сохранение ярлыка mspaint.lnk на диск, который запускает скрипт, загружающий и выполняющий файл.

T1140 Deobfuscate/Decode Files or Information Т7.17. Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами программного кода вредоносного ПО, данных и команд управляющего трафика, в том числе при хранении этого кода и данных в атакуемой системе, при хранении на сетевом ресурсе или при передаче по сети Используется RC4 для расшифровки строк в ходе выполнения программы.

Используется RC4 для расшифровки строк в ходе выполнения программы.

Т2.12. Использование доступа к системам и сетям, предоставленного сторонним организациям, в том числе через взлом инфраструктуры этих организаций, компрометацию личного оборудования сотрудников сторонних организаций, используемого для доступа. Пример: использование доступа третьей доверенной стороны (поставщики ИТ-услуг, поставщики услуг безопасности)

Встраивание iframe в порталы отелей для загрузки вредоносного ПО.