Oracle MySQL: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1453	Просмотр пользовательских данных MySQL	Атакующие могут попытаться получить несанкционированный доступ к системным таблицам, содержащим учетные записи пользователей, их привилегии и хэшированные пароли.	Credential Access (TA0006) Discovery (TA0007) Collection (TA0009) OS Credential Dumping (T1003) Proc Filesystem (T1003.007) Account Discovery (T1087) Local Account (T1087.001) Domain Account (T1087.002) Data from Information Repositories (T1213)
RV-D-1456	Получение списка подключений к MySQL	Атакующий может просмотреть, какие есть активные сессии в СУБД для последующего взаимодействия с учетными записями. В MySQL есть два способа просмотра активных сессий - встроенной командой или SQL-запросом таблиц.	Discovery (TA0007) System Network Connections Discovery (T1049)
RV-D-1459	Получение информации о версии MySQL	Запрос версии базы данных MySQL может быть как частью легитимных административных задач, так и частью разведки атакующего. Зная точную версию MySQL, атакующий может идентифицировать уязвимости в используемой версии и подобрать эксплойты, определить конфигурационные особенности, которые могут упростить атаку и оценить уровень обновлений и патчей сервера перед дальнейшими атаками.	Discovery (TA0007) Software Discovery (T1518)
RV-D-1462	Создание резервной копии MySQL	Атакующий может сохранить конфиденциальную информацию из базы данных MySQL, создав ее резервную копию или экспортировав данные в файл. Это может привести к утечке данных, если доступ к системе получен несанкционированно.	Credential Access (TA0006) Collection (TA0009) OS Credential Dumping (T1003) Data from Local System (T1005) Data Staged (T1074) Local Data Staging (T1074.001)
RV-D-1463	Изменение/удаление таблицы аудита MySQL	Атакующие могут попытаться отключить\удалить или изменить систему аудита MySQL, чтобы скрыть свою активность и избежать обнаружения.	Defense Evasion (TA0005) Impact (TA0040) Indicator Removal (T1070) Clear Windows Event Logs (T1070.001) Impair Defenses (T1562) Disable or Modify Tools (T1562.001) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1464	Массовое удаление таблиц MySQL	Массовое удаление таблиц MySQL представляет серьезную угрозу для целостности данных и работоспособности сервисов. Подобные действия могут выполняться легитимно при очистке БД перед миграцией новых структур или удалении старой информации.	Impact (TA0040) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1467	Удаление базы данных в MySQL	Атакующий с целью нарушения функционирования системы может попытаться удалить базу данных. Правило обнаруживает удаление базы данных в MySQL с помощью характерного запроса.	Impact (TA0040) Data Destruction (T1485)
RV-D-1472	Назначение прав администратора MySQL	Правило детектирует создание новых пользователей с административными привилегиями или эскалацию прав у существующих пользователей. Если атакующему удастся успешно выполнить такие действия, он получит полный контроль над базами данных, что может привести к краже, модификации или уничтожению данных.	Persistence (TA0003) Privilege Escalation (TA0004) Account Manipulation (T1098)
RV-D-1473	Остановка сессии пользователя в MySQL	Атакующий может просмотреть, какие есть активные сессии в СУБД для последующего нарушения доступности БД путем блокирования доступа от учетных записей, используемых легитимными пользователями.	Impact (TA0040) Account Access Removal (T1531)
RV-D-1475	Изменение пароля учетной записи MySQL	Атакующий может изменить пароль учетной записи базы данных, чтобы закрепиться в системе или получить доступ к другому пользователю, например, учетной записи с максимальными привилегиями.	Persistence (TA0003) Privilege Escalation (TA0004) Account Manipulation (T1098)
RV-D-1479	Атака Password Spraying на СУБД MySQL	Правило обнаруживает множественные неудачные попытки подключения к СУБД MySQL от одного хоста к множеству учетных записей.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1484	Подбор пароля к СУБД MySQL	Правило обнаруживает множественные неудачные попытки подключения к СУБД MySQL от одной учетной записи, учитывая попытки с разных хостов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1487	Успешный подбор пароля к СУБД MySQL	Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к СУБД MySQL от одной учетной записи, учитывая попытки с разных узлов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1488	Вход привилегированного пользователя в MySQL	Атакующий может получить привилегированные учетные данные и попытаться авторизоваться с контролируемого им хоста. Правило обнаруживает попытку авторизации привилегированного пользователя с неизвестного хоста в СУБД MySQL.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1509	Чтение журналов MySQL	Атакующие могут выполнять SQL-запросы к таблицам журналирования и представлениям, содержащим историю активности MySQL, с целью получения информации о ранее выполненных операциях, пользователях и административных действиях. Доступ к таким источникам, как general_log, slow_log, audit_log, а также представлениям performance_schema.events_statements_*, позволяет атакующему проводить разведку внутри СУБД, выявлять поведение администраторов и подготавливать дальнейшие этапы атаки.	Discovery (TA0007) Log Enumeration (T1654)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1453

Просмотр пользовательских данных MySQL

Атакующие могут попытаться получить несанкционированный доступ к системным таблицам, содержащим учетные записи пользователей, их привилегии и хэшированные пароли.

Credential Access (TA0006)
Discovery (TA0007)
Collection (TA0009)
OS Credential Dumping (T1003)
Proc Filesystem (T1003.007)
Account Discovery (T1087)
Local Account (T1087.001)
Domain Account (T1087.002)
Data from Information Repositories (T1213)

RV-D-1456

Получение списка подключений к MySQL

Атакующий может просмотреть, какие есть активные сессии в СУБД для последующего взаимодействия с учетными записями. В MySQL есть два способа просмотра активных сессий - встроенной командой или SQL-запросом таблиц.

Discovery (TA0007)
System Network Connections Discovery (T1049)

RV-D-1459

Получение информации о версии MySQL

Запрос версии базы данных MySQL может быть как частью легитимных административных задач, так и частью разведки атакующего. Зная точную версию MySQL, атакующий может идентифицировать уязвимости в используемой версии и подобрать эксплойты, определить конфигурационные особенности, которые могут упростить атаку и оценить уровень обновлений и патчей сервера перед дальнейшими атаками.

Discovery (TA0007)
Software Discovery (T1518)

RV-D-1462

Создание резервной копии MySQL

Атакующий может сохранить конфиденциальную информацию из базы данных MySQL, создав ее резервную копию или экспортировав данные в файл. Это может привести к утечке данных, если доступ к системе получен несанкционированно.

Credential Access (TA0006)
Collection (TA0009)
OS Credential Dumping (T1003)
Data from Local System (T1005)
Data Staged (T1074)
Local Data Staging (T1074.001)

RV-D-1463

Изменение/удаление таблицы аудита MySQL

Атакующие могут попытаться отключить\удалить или изменить систему аудита MySQL, чтобы скрыть свою активность и избежать обнаружения.

Defense Evasion (TA0005)
Impact (TA0040)
Indicator Removal (T1070)
Clear Windows Event Logs (T1070.001)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1464

Массовое удаление таблиц MySQL

Массовое удаление таблиц MySQL представляет серьезную угрозу для целостности данных и работоспособности сервисов. Подобные действия могут выполняться легитимно при очистке БД перед миграцией новых структур или удалении старой информации.

Impact (TA0040)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1467

Удаление базы данных в MySQL

Атакующий с целью нарушения функционирования системы может попытаться удалить базу данных. Правило обнаруживает удаление базы данных в MySQL с помощью характерного запроса.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1472

Назначение прав администратора MySQL

Правило детектирует создание новых пользователей с административными привилегиями или эскалацию прав у существующих пользователей. Если атакующему удастся успешно выполнить такие действия, он получит полный контроль над базами данных, что может привести к краже, модификации или уничтожению данных.

Persistence (TA0003)
Privilege Escalation (TA0004)
Account Manipulation (T1098)

RV-D-1473

Остановка сессии пользователя в MySQL

Атакующий может просмотреть, какие есть активные сессии в СУБД для последующего нарушения доступности БД путем блокирования доступа от учетных записей, используемых легитимными пользователями.

Impact (TA0040)
Account Access Removal (T1531)

RV-D-1475

Изменение пароля учетной записи MySQL

Атакующий может изменить пароль учетной записи базы данных, чтобы закрепиться в системе или получить доступ к другому пользователю, например, учетной записи с максимальными привилегиями.

Persistence (TA0003)
Privilege Escalation (TA0004)
Account Manipulation (T1098)

RV-D-1479

Атака Password Spraying на СУБД MySQL

Правило обнаруживает множественные неудачные попытки подключения к СУБД MySQL от одного хоста к множеству учетных записей.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1484

Подбор пароля к СУБД MySQL

Правило обнаруживает множественные неудачные попытки подключения к СУБД MySQL от одной учетной записи, учитывая попытки с разных хостов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1487

Успешный подбор пароля к СУБД MySQL

Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к СУБД MySQL от одной учетной записи, учитывая попытки с разных узлов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1488

Вход привилегированного пользователя в MySQL

Атакующий может получить привилегированные учетные данные и попытаться авторизоваться с контролируемого им хоста. Правило обнаруживает попытку авторизации привилегированного пользователя с неизвестного хоста в СУБД MySQL.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1509

Чтение журналов MySQL

Атакующие могут выполнять SQL-запросы к таблицам журналирования и представлениям, содержащим историю активности MySQL, с целью получения информации о ранее выполненных операциях, пользователях и административных действиях. Доступ к таким источникам, как general_log, slow_log, audit_log, а также представлениям performance_schema.events_statements_*, позволяет атакующему проводить разведку внутри СУБД, выявлять поведение администраторов и подготавливать дальнейшие этапы атаки.

Discovery (TA0007)
Log Enumeration (T1654)

Была ли полезна эта страница?