Будущее, взгляд из конца 2018

В канун празднования Нового года принято делать прогнозы на будущий год. Я никогда этого не делал именно под Новый год, не люблю повторять. Но, если считать, что будущее - следствие настоящего, то успех предсказания можно считать метрикой адекватности свой оценки текущей ситуации, ну а если мы адекватно интерпретируем происходящее, значит мы разбираемся в своей работе и отрасли. В этой заметке не хочется распыляться, а порассуждать о главном - развитии предложений по Защите от атак, и не на ближайший года, а на ближайшие 3-5 лет.

Но прежде перенесемся на более чем 10 лет назад, когда я работал в Заказчике и совмещал две несовместимые роли - администратора систем безопасности и аналитика службы мониторинга (удивлен, что отголоски того славного прошлого так легко можно найти в Сети). Спустя какое-то время штатного функционала используемых коробочных продуктов стало не хватать: нет возможности создать требуемые кастомные сигнатуры, нет возможности аккуратно отфильтровать ложные срабатывания, порой, даже не получается как следует расследовать инцидент, так как сигнатуры закрыты и понять на что конкретно они срабатывают далеко не всегда возможно. Поначалу я писал фичареки (feature requests), путешествовал по линиям эскалации техподдержки, спустя какое-то время, прочувствовав на себе скорость исполнения моих фичареков, забил. Причины ситуации очевидны: во-первых, ограниченный функционал коробки - это понятно, широкий функционал требует тяжелого operations-а, что, безусловно, становится проблемой и вендора, поскольку он все равно является окончательной точкой эскалации. Во-вторых, дело не только в том, что сложный функционал сложно (==дорого) поддерживать, его еще и сложно сделать сразу хорошо, без глюков, багов и точно как планировали - Закон сохранения здесь во всей красе. Поэтому, ввиду банальных экономических предпосылок, вендорское решение-коробка будет всегда ограниченного фунционала, чтобы в поддержке можно было посадить простых людей, или, еще лучше, чтобы поддержка не требовалась вовсе: идеальный продукт - реализующий принцип продал и забыл.  И как на стороне Заказчика преодолеваются продуктовые ограничения? Мы идем в opensource! Самостоятельно находя компромисс между его плюсам и минусами. Так сделал и я тогда. Так происходит и до сих пор....

...Специализация уже давно плотно вошла мир киберкриминала и требует соответствующих ответных мер со стороны защиты. Профессиональная работа должна выполняться профессионалами и, чем профессиональнее атакующие, тем профессиональнее и опытнее должны быть защитники. Поэтому, если немного подумать, можно догадаться, что чем сложнее атаки, тем шире пропасть между возможностями по защите со стороны интерпрайзной безопасности со своими коробками\opensource-ом и вендора-провайдера профессиональных решений по безопасности. И дело здесь не в людях, - в интерпрайзах полно прекрасных профессионалов, - а в инструментах и инфраструктуре. Я уже писал, что принцип Алана Кея работает и в нашем случае, но в несколько измененном виде: если вы предоставляете сервис по борьбе с уникальными угрозами, вам нужны свои уникальные инструменты для их обнаружения, как минимум, для решения описанных выше проблем ограниченности функционала и медленного исполнения важных запросов на изменения: не будет возможности догонять киберпреступников, если необходимая для детекта телеметрия или ее инфраструктурная обработка будет реализовываться в течение нескольких лет, собачонка подрастет :).

Второй абзац этой заметки поясняет почему функционал коробочных решений ограничен (широкий функционал имеет большое TCO, что никому не нужно). Но, к сожалению, и гибкого opensource недостаточно. И, что самое главное, не хватает исследований, как операционного процесса Исследований на базе собственных расследований - недостаточно, но, в любом случае, это лучше чем ничего не делать вовсе, или гоняться за ведьмами. Как отмечал здесь, чтобы иметь возможность обнаружить уникальную атаку в конкретной инфраструктуре, нужно в принципе иметь практику обнаружения уникальных атак, поставленную на operations (как минимум, на уровне зрелости, когда процесс повторим, чтобы повторить его у Заказчика), а найти уникальную атаку - это исследования. Причем, это не только люди, занимающиеся исследованиями на постоянной основе, это и детектирующие сенсоры, и инфраструктура обрабатывающая телеметрию с сенсоров, и огромная база всевозможного Threat Intelligence, начиная от тупых IoC-ов и репутации объектов, заканчивая информацией о группировках, применяемых техниках и тактиках. Бесконечное развитие современных атак требует бесконечной гибкости от используемых инструментов, а защита от постоянно мутирующего атакующего требует постоянной адаптации СЗИ - это и есть тот самый процесс безопасности, о котором все говорят - иметь в любой момент времени состояние защитных мер адекватным современным угрозам.

Ну вот, мне кажется, я накидал достаточно умозаключений, чтобы описываемый далее прогноз показался Вам, уважаемые читатели, столь же очевидным как и мне. По моему мнению эффективность коробочных решений против современных атак будет продолжать снижаться. Поэтому, чтобы оставаться эффективными, вендоры-провайдеры будут выводить на рынок более сложные предложения комбинации технологий и сервисов. Именно технологий, так как коробочный продукт всегда имеет ряд ограничений, преодоление которых вполне может оказаться дороже создания с нуля полностью адаптированной под Заказчика экосистемы вокруг технологий. В Operations эти технологии будут нуждаться в постоянной доработке - это и есть часть обеспечения безопасности, а чем сложнее технологии сами по себе, тем эффективнее и результативнее эти технологии будут. И тут законно: если вы хотите противостоять дорогим атакам, ваша защита тоже будет дорогой, как для Заказчика, так и для Поставщика. Я думаю, что в будущем и Поставщики и Заказчики наконец-то поймут, что "продать и забыть" нельзя, как нельзя и "поставить, защититься и забыть". Постоянная работа киберзлодеев требует постоянной работы Голубых команд, а узкая направленность (целенаправленность) атак требует переноса театра военный действий из лаборатории Поставщика непосредственно в инфраструктуру Заказчика.  Успешным здесь будет тот вендор-поставщик, кто первым научится поставлять не коробки, а решения, встраивать их инфраструктурно и процессно в Заказчика, и на протящении всего жизненного цикла их использования оказывать поддержку и развитие построенной системы защиты и персонала Заказчика. Специализация атак требует специализации защиты, которая, чтобы оставаться всегда адекватной угрозам, должна быть максимально гибкой, а, следовательно, дорогой в использовании и обслуживании. Кстати, это отлично увязывается с геополитическими проблемами современности и сложностями доверия.

Поскольку, пытаясь сказать много (причем, местами одного и того же, но разными словами; кто меня знает лично, вероятно, знает и как я приобрел эту особенность), я, возможно, размыл суть прогноза, поэтому подведу итог. На смену комплексным решениям из коробок+сервисов придут более интеграторские предложения из технологий+Сервисов, где Сервисы будут включать: доведение проданных технологий до необходимого Заказчику продукта, компенсацию отсутствующей у Заказчика необходимой экспертизы по использованию технологий и получившихся продуктов, обеспечение постоянной эффективности и результативности технологий в обнаружении и предотвращении атак (как legacy, commodity, так и advanced, targeted). Здесь уже речь о партнерстве с поставщиками услуг, причем ИТ, ибо безопасность - свойство, едва ли нужное само по себе.

Я любитель схемок и картинок, поэтому и этот совой прогноз оснащу изображением эволюции подходов к защите.

Использование MITRE ATT&CK в работе центров мониторинга

Вчера был на мероприятии, где с коллегой рассказывали о сценариях использования MITRE ATT&CK на практике. Мероприятие транслировалось и имеется запись. Мы немного коснулись технических внутренностей инфраструктуры сервиса KMP, поэтому доклад может быть полезен для практиков, решающих схожие задачи.

Вопрос практического применения ATT&CK раскрыт и в оригинальных документах MITRE, например, здесь, поэтому отмечу кратко лишь несколько моментов.

Во-первых, это вопрос покрытия: какие техники способно обнаружить то или иное решение. Достоверно и объективно оценить это на уровне техники крайне проблематично по этой причине: под каждую технику можно придумать очень много конкретных реализаций (процедур) и продетектить их все сложно, как минимум, потому что нет гарантии, что на данный момент они известны все. Оценивать покрытие можно только в рамках какого-то конкретного сценария (набора процедур), так же можно и сравнивать решения, что и сделала MITRE. Сравнивать решения по плотности закрашивания клеточек в табличке MITRE ATT&CK, без понимания на каких сценариях проводилось закрашивание и как классифицировались детекты, - некорректно и необъективно.

Во-вторых, хочется отметить вариант использования ATT&CK для классификации детекторов. Когда их несколько десятков и работает один человек, их еще можно все удержать в памяти, но когда их несколько сотен и работает целая команда без классификации уже не обойтись. Сценарий очевиден: когда есть необходимость продетектить очередную активность, и нужно решать задачу писать ли новый детектор или обновить существующий (а может, и несколько существующих), классификация сузит область для анализа имеющегося до уровня техники: существующие детекторы или их отсутствие можно будет быстрее найти, без необходимости анализа многих сотен прежде созданных детекторов, которые помнить все невозможно, тем более, если они были созданы другим аналитиком.

Последнее, на что хочется обратить внимание - это использование ATT&CK как базы знаний для аналитиков. Не раз отмечалась высокая эффективность Threat Intelligence-а из Operations-а, так вот ATT&CK - это не что иное, как аккумулированные, более или менее классифицированные, знания о реальных атаках, применяемых ими техниках и процедурах. Любому аналитику SOC будет крайне полезно внимательно ознакомиться с этой базой знаний.

MITRE оценила EDR

На днях оно свершилось! MITRE опубликовала результаты оценки EDR по своей матрице ATT&CK.
Надо отметить, что это очень занятное чтение для всех: производители EDR и поставщики услуг MDR могут черпать идеи для развития своих предложений, а заказчики - выбрать решение наиболее для них подходящее.
Результаты приводятся независимо друг от друга, причем MITRE в описании условий теста явно подчеркивает, что взаимного сравнения делать умышленно не будет. Однако, и за это надо отдать им должное, коллеги из MITRE сделали все, чтобы взаимное сравнение было несложно провести самостоятельно - наряду с человекочитаемыми табличками (например, для Cb) все результаты тестов приведены в машиночитаемом формате (например, для того же Cb).

Ну конечно же я не смог удержаться и написал небольшой скриптик, отрисовывающий сводную табличку о том, как тестируемые вендоры детектят тестовые техники, которую я привожу в конце этой заметки.
Моя оценка не лишена субъективизма, но код свободно доступен и каждый может его подстроить под свое чувство справедливости. Но поясню свои доводы.

Наиболее важным моментом во всей оценке являются виды выдаваемых детектов, подробно описанные здесь. Для взаимной оценки я оснастил детекты числовыми весами:

• None - EDR ничего не заметил, нет даже телеметрии на базе которой можно было бы сделать детект - 0
• Telemetry - были зафиксированы только сырые события - ищи, мол, аналитик в миллиардах событий атаки глазами - 10
• Enrichment - сырые события были обогащены дополнительной информацией, полезной аналитику при расследовании - немного лучше, чем сыряк, поэтому только 15
• Indicator of compromise - сырые события проверены по какому-либо ThreatIntel-у и совпадения показаны аналитику - ну хотя бы детект по статическим IoC-ам - не особо прогрессивно, поэтому только 20
• General behavior - общий поведенческий детект - обнаружение действий атакующего с точностью до тактики - уже немного поведения, но очень общо, поэтому только 30
• Specific behavior - обнаружение применения конкретной техники - то, что нужно - максимальные 60 очков

Кроме описанных основных типов детекта MITRE вводит еще модификаторы, позволяющие немного глубже судить о качестве конкретного основного детекта:

• Delayed - детект выдан с ощутимой задержкой - на мой взгляд, это плохо и за это я снимаю 5 баллов
• Tainted - текущий детект учитывает связь с предыдущими детектами - на мой взгляд, это хорошо, поэтому за это я добавляю 5 очков
• Configuration change - детект появляется при изменении конфигурации по сравнению с первоначальной - здесь я снова считаю, что это плохо, поэтому снижаю оценку на 5.

Кроме цифр, табличка еще раскрашена. Цветовая градация следующая:

• меньше 10 очков за технику - означает, что детекта нет и нет даже телеметрии, чтобы его сделать - это очень плохо, поэтому цвет красный
• от 10 до 29 - означает, что есть телеметрия и она как-то размечается. На мой взгляд, это не сильное подспорье аналитику, так как поведенческого детекта нет, а статическими индикаторами (какое бы несметное количество фидов вы не мэтчили) активный поиск угроз (== Threat hunting) не сделать
• от 30 до 59 означает, что продукт реализует общую логику обнаружения по поведению, хотя бы на уровне тактики. Это уже лучше, чем предыдущие варианты с разметкой тупыми индикаторами, но все же пока не то, что надо, так как сильная обобщенность детекта взваливает большой пласт ручной работы на плечи аналитика
• больше 59 - означает, что для техники есть хотя бы один хорошо работающий детект Specific berhavior, а значит данная техника обнаруживается по характирному поведению - это как раз и есть, то, что я называю "TTP-based" детект.

Любое объяснение почему такие баллы не будет держать критики, однако, любой читатель заметки может проставить их на свое усмотрение, а также изменить метод их подсчета. Я руководствовался тем, что наивысший балл за технику должен получать тот, кто смог определить эту конкретную технику по поведению,  поэтому разрыв между Specific behavior (60) и Indicator of compromise (20) - очень большой, чтобы снизить риск когда отсутствие TTP-base детекта может компенсироваться наличием пары индикаторов. Читатель может увеличить этот разрыв еще больше, давая за Specific behavior, скажем, 90, вместо 60, или оценивая в вендорах только наличие TTP-based детектов, проставляя за все остальное нули.

Проблем у данного сравнения можно найти много (== путей его совершенствования) и я сам до сих пор упражняюсь с тем, что меняю баллы и метод суммирования, в частности: 

• можно ввести веса для техник, тогда вендор, детектирующий "более важные" техники получит лучшие оценки, но такую градацию не сделать с полпинка, если этим не заниматься глубоко (у нас постоянно ведется некоторая работа по приоритезации детектов - они у нас называются "хантами", - когда-нибудь постараюсь найти время и поделиться этим, поскольку вопрос связан с приоритезацией инцидентов и важен)
• можно добавить "мета-вендора", который соберет все лучшие детекты для каждой техники из сравниваемых решений, а каждого вендора сравнивать в процентах от детекта, выдаваемого "мета-вендором"
• и пр...

В любом случае, лично мне эта разработка помогла посмотреть в общем на результаты тестирования, подсветить сильные и слабые стороны каждого вендора в сравнении с конкурентами. 

Когда-то, у моих прошлых работодателей, я занимался выбором различных решений по безопасности. В целом, ничего невероятного - я разворачивал всех претендентов в лабораториях, разрабатывал тест-планы и методики выбора победителя. Мы собирались комиссией из состава проектной команды, проходили тест-планы, фиксировали результаты, подсчитывали очки. Данное тестирование MITRE значительно сократило нам путь оценки EDR и остается только обработать результат, что я и попытался сделать в этом небольшом исследовании, за что не будет лишним в очередной раз поблагодарить MITRE.

Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Query Registry Discovery (T1012)	12.E.1.7	Empire: WinEnum module included enumeration of system information via a Registry query	None	0	None	0	Telemetry	10	None	0	None	0	None	0	None	0
	13.C.1	Empire: 'reg query' via PowerShell to enumerate a specific Registry key	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed-Tainted General Behavior-Delayed	70	Telemetry-Tainted Enrichment-Delayed-Tainted	30	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	2.H.1	Cobalt Strike: 'reg query' via cmd to enumerate a specific Registry key	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	17.A.1	Empire: 'reg query' via PowerShell to enumerate a specific Registry key	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted Enrichment-Delayed-Tainted	30	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	6.A.1	Cobalt Strike: 'reg query' via cmd to remotely enumerate a specific Registry key on Conficker (10.0.0.5)	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed-Tainted	45	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Command-Line Interface Execution (T1059)	2.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.A.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.D.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.D.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.E.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.E.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	16.F.1	Empire: Built-in runas module executed to launch malicious VBScript (autoupdate.vbs) as user Kmitnick	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted	15	Enrichment-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	50	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	2.F.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.F.3		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.C.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.G.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.G.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.F.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	7.C.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	8.A.1		None	0	None	0	None	0	None	0	Telemetry	10	None	0	None	0
	8.A.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.H.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	4.A.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	6.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	4.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	4.B.1		None	0	None	0	None	0	None	0	Telemetry	10	None	0	None	0
	4.C.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
System Service Discovery Discovery (T1007)	12.D.1	Empire: 'net start' via PowerShell	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted Enrichment-Tainted-Delayed	30	Telemetry-Tainted General Behavior-Delayed	40	Telemetry	10	Telemetry-Tainted	15
	17.A.1	Empire: 'reg query' via PowerShell to enumerate a specific Registry key associated with terminal services	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	16.J.1	Empire: 'sc qc' via PowerShell to remotely enumerate a specific service on Creeper (10.0.0.4)	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted Specific Behavior-Delayed	70	Telemetry-Tainted Enrichment-Delayed-Tainted	30	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	2.D.2	Cobalt Strike: 'net start' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	2.D.1	Cobalt Strike: 'sc query' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
	12.E.1.8	Empire: WinEnum module included enumeration of services	None	0	None	0	None	0	None	0	Telemetry	10	None	0	None	0
	16.H.1	Empire: 'sc query' via PowerShell to remotely enumerate services on Creeper (10.0.0.4)	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted Specific Behavior-Delayed	70	Telemetry-Tainted Enrichment-Delayed-Tainted	30	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
File Permissions Modification Defense Evasion (T1222)	17.B.1	Empire: 'takeown' via PowerShell to obtain ownership of magnify.exe	Telemetry Enrichment-Configuration Change	20	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Enrichment-Tainted	20
	17.B.2	Empire: 'icacls' via PowerShell to modify the DACL for magnify.exe	Telemetry Enrichment-Configuration Change	20	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Masquerading Defense Evasion (T1036)	19.A.1	Empire: File dropped to disk is a renamed copy of the WinRAR binary	Telemetry	10	None	0	Telemetry	10	None	0	Telemetry	10	None	0	Telemetry-Tainted	15
	16.I.1	Empire: 'sc description' via PowerShell to remotely disguise a service on Creeper (10.0.0.4)	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	19.B.1	Empire: Executed binary (recycler.exe) is a renamed copy of the WinRAR binary	Telemetry Specific Behavior	70	Enrichment-Tainted-Configuration Change Telemetry-Tainted	30	Specific Behavior-Tainted Telemetry Specific Behavior-Delayed	130	Specific Behavior-Tainted Telemetry-Tainted	80	Telemetry-Tainted	15	Telemetry	10	Enrichment-Tainted	20
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Service Execution Execution (T1035)	16.L.1	Empire: 'sc start' via PowerShell to remotely launch a specific service on Creeper (10.0.0.4)	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted Specific Behavior-Delayed	70	Telemetry-Tainted Enrichment-Delayed-Tainted Specific Behavior	90	Telemetry-Tainted Specific Behavior	75	Telemetry	10	Telemetry-Tainted General Behavior	45
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
System Owner/User Discovery Discovery (T1033)	2.B.1	Cobalt Strike: 'echo' via cmd to enumerate specific environment variables	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	20.B.1	Executed 'whoami' via cmd persistence mechanism through RDP connection made to Creeper (10.0.0.4)	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted Enrichment-Delayed-Tainted	30	Telemetry-Tainted	15	Telemetry	10	Enrichment	15
	12.B.1	Empire: 'whoami /all /fo list' via PowerShell	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	General Behavior-Delayed-Tainted Telemetry General Behavior-Delayed	65	Telemetry-Tainted Enrichment-Tainted-Delayed	30	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	12.E.1.1	Empire: WinEnum module included enumeration of user information	None	0	None	0	None	0	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Standard Cryptographic Protocol Command and Control (T1032)	11.B.1	Empire: Encrypted C2 channel established using HTTPS	Telemetry	10	None	0	None	0	Telemetry-Tainted	15	Telemetry-Tainted	15	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Password Policy Discovery Discovery (T1201)	12.E.1.3	Empire: WinEnum module included enumeration of password policy information	None	0	None	0	None	0	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
System Network Configuration Discovery Discovery (T1016)	12.A.2	Empire: 'ipconfig /all' via PowerShell	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	4.B.1	Cobalt Strike: 'netsh advfirewall show allprofiles' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	General Behavior-Delayed Telemetry General Behavior-Delayed	60	Telemetry	10	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	12.A.1	Empire: 'route print' via PowerShell	Telemetry	10	Enrichment-Tainted	20	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	2.A.2	Cobalt Strike: 'arp -a' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
	2.A.1	Cobalt Strike: 'ipconfig /all' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted General Behavior-Delayed	40	General Behavior-Tainted Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	75	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
	12.E.1.11	Empire: WinEnum module included enumeration of network adapters	None	0	None	0	None	0	None	0	Telemetry	10	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
User Execution Execution (T1204)	1.A.1	Legitimate user Debbie clicked and executed malicious self-extracting archive (Resume Viewer.exe) on 10.0.1.6 (Nimda)	Telemetry General Behavior	40	Telemetry-Tainted	15	General Behavior Telemetry	40	General Behavior Telemetry-Tainted	45	Telemetry	10	Telemetry	10	Telemetry General Behavior	40
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Data from Network Shared Drive collection (T1039)	18.B.1	Empire: 'copy' via PowerShell collected a file (Shockwave_network.vsdx) from a network shared drive (Wormshare) on Conficker (10.0.0.5)	None	0	Telemetry-Tainted	15	None	0	None	0	None	0	None	0	Telemetry-Tainted	15
	9.B.1	Cobalt Strike: Built-in download capability executed to a collect file (Shockwave_rackb_diagram.vsdx) from a network shared drive (Wormshare) on Conficker (10.0.0.5)	None	0	None	0	None	0	None	0	None	0	None	0	Telemetry	10
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Process Injection Defense Evasion, Privilege Escalation (T1055)	3.C.1	Cobalt Strike: Built-in process injection capability executed to inject callback into cmd.exe	Telemetry Specific Behavior	70	Specific Behavior-Tainted	65	Specific Behavior-Tainted Telemetry General Behavior-Delayed-Tainted	105	Specific Behavior	60	Enrichment-Tainted Specific Behavior-Delayed	75	Telemetry	10	Telemetry-Tainted	15
	8.D.1	Cobalt Strike: Screen capture capability involved process injection into explorer.exe	Telemetry	10	Telemetry	10	Telemetry	10	Specific Behavior-Tainted	65	Enrichment	15	None	0	Telemetry-Tainted	15
	5.A.1	Cobalt Strike: Credential dump capability involved process injection into lsass	Telemetry	10	General Behavior	30	Enrichment	15	Telemetry	10	Telemetry-Tainted Specific Behavior-Delayed	70	None	0	None	0
	5.A.2	Cobalt Strike: Hash dump capability involved process injection into lsass.exe	Telemetry Specific Behavior	70	Specific Behavior-Tainted General Behavior	95	Enrichment	15	Telemetry-Tainted Specific Behavior	75	Telemetry-Tainted Specific Behavior-Delayed	70	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Remote System Discovery Discovery (T1018)	13.A.1	Empire: 'net group "Domain Computers" /domain' via PowerShell	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted Enrichment-Tainted General Behavior-Delayed	60	Telemetry-Tainted Enrichment-Delayed-Tainted	30	Telemetry-Tainted General Behavior-Delayed	40	Telemetry	10	Telemetry-Tainted	15
	4.A.1	Cobalt Strike: 'net group "Domain Controllers" /domain' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Enrichment Telemetry General Behavior-Delayed General Behavior-Delayed	75	Telemetry Enrichment-Delayed	20	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	4.A.2	Cobalt Strike: 'net group "Domain Computers" /domain' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Enrichment Telemetry General Behavior-Delayed General Behavior-Delayed	75	Telemetry Enrichment-Delayed	20	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Standard Application Layer Protocol Command and Control (T1071)	6.B.1	Cobalt Strike: C2 channel modified to use HTTP traffic to freegoogleadsenseinfo.com	Telemetry	10	Telemetry	10	None	0	None	0	None	0	None	0	None	0
	1.C.1	Cobalt Strike: C2 channel established using DNS traffic to freegoogleadsenseinfo.com	None	0	Telemetry	10	Specific Behavior General Behavior-Delayed Telemetry Specific Behavior-Delayed	150	Telemetry-Tainted	15	Telemetry-Configuration Change	5	None	0	Telemetry-Tainted	15
	14.A.1	Empire: UAC bypass module downloaded a new Empire stager (wdbypass) over HTTP	None	0	Telemetry-Tainted	15	None	0	Telemetry	10	Telemetry-Tainted	15	None	0	None	0
	11.B.1	Empire: C2 channel established using HTTPS traffic to freegoogleadsenseinfo.com	Telemetry	10	None	0	None	0	Telemetry-Tainted	15	Telemetry-Tainted Indicator of Compromise-Configuration Change	30	Telemetry	10	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Network Share Discovery Discovery (T1135)	12.E.1.9.2	Empire: WinEnum module included enumeration of mapped network drives	None	0	None	0	None	0	None	0	None	0	None	0	Telemetry-Tainted	15
	12.E.1.9.1	Empire: WinEnum module included enumeration of available shares	None	0	None	0	None	0	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Data Encoding Command and Control (T1132)	1.C.1	Cobalt Strike: C2 channel established using both NetBIOS and base64 encoding	None	0	None	0	Telemetry-Tainted	15	None	0	None	0	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Remote Desktop Protocol Lateral Movement (T1076)	20.A.1	RDP connection made to Creeper (10.0.0.4) as part of execution of persistence mechanism	None	0	Telemetry	10	Telemetry	10	Telemetry	10	Telemetry	10	None	0	None	0
	6.C.1	Cobalt Strike: C2 channel modified to proxy RDP connection to Conficker (10.0.0.5)	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change Telemetry	25	Telemetry General Behavior-Delayed	35	Telemetry-Tainted	15	Telemetry	10	Telemetry	10	Telemetry-Tainted	15
	10.B.1	RDP connection made to Conficker (10.0.0.5) as part of execution of persistence mechanism	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry	10	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Scheduled Task Execution, Persistence, Privilege Escalation (T1053)	10.A.2	Scheduled task executed when user Debbie logs on to Nimda (10.0.1.6), launching a DLL payload (updater.dll) using Rundll32	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry	10	Telemetry	10
	7.C.1	Cobalt Strike: 'schtasks' via cmd to create scheduled task that executes a DLL payload (updater.dll)	Telemetry Specific Behavior	70	Specific Behavior Telemetry	70	Telemetry General Behavior-Delayed-Tainted Specific Behavior-Delayed	95	Enrichment Telemetry-Tainted Enrichment-Delayed-Tainted Specific Behavior-Tainted	110	Telemetry Specific Behavior-Delayed	65	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Data Staged collection (T1074)	18.B.1	Empire: 'copy' via PowerShell staged a file (Shockwave_network.vsdx) from a network shared drive (Wormshare) on Conficker (10.0.0.5) in the Recycle Bin (C:\$Recycle.Bin) on CodeRed (10.0.1.5)	Telemetry Specific Behavior	70	Telemetry-Tainted	15	Telemetry Specific Behavior-Delayed	65	Telemetry-Tainted	15	None	0	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Application Window Discovery Discovery (T1010)	8.C.1	Cobalt Strike: Keylogging capability included residual enumeration of application windows	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	15.A.1	Empire: Built-in keylogging module included residual enumeration of application windows	None	0	None	0	Telemetry	10	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Valid Accounts Defense Evasion, Persistence, Privilege Escalation, Initial Access (T1078)	16.B.1	Empire: 'net use' via PowerShell to successfully authenticate to Conficker (10.0.0.5) using credentials of user Kmitnick	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed-Tainted	45	Enrichment-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	50	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	10.B.1	RDP connection to Conficker (10.0.0.5) authenticated using previously added user Jesse	Telemetry Enrichment	25	Telemetry	10	Telemetry	10	Telemetry-Tainted	15	Telemetry	10	Telemetry	10	Telemetry	10
	16.D.1	Empire: 'net use' via PowerShell to successfully authenticate to Creeper (10.0.0.4) using credentials of user Kmitnick	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted	15	Enrichment-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	50	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Brute Force Credential Access (T1110)	16.B.1	Empire: Successful authentication to Conficker (10.0.0.5) using credentials of user Kmitnick as a result of the brute force password spraying	Telemetry Enrichment-Configuration Change	20	Enrichment-Tainted Telemetry-Tainted	35	Telemetry-Tainted General Behavior-Delayed-Tainted General Behavior-Delayed	70	Enrichment-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	50	Telemetry-Tainted Specific Behavior-Delayed	70	Telemetry	10	Telemetry-Tainted	15
	16.A.1	Empire: 'net use' via PowerShell to brute force password spraying authentication attempts to Morris (10.0.1.4) and Nimda (10.0.1.6) targeting credentials of users Kmitnick, Bob, and Frieda	Telemetry Enrichment-Configuration Change	20	Enrichment-Tainted	20	Telemetry General Behavior-Delayed-Tainted General Behavior-Delayed	65	Enrichment-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	50	Telemetry-Tainted Specific Behavior-Delayed	70	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Screen Capture Collection (T1113)	8.D.1	Cobalt Strike: Built-in screen capture capability executed to capture screenshot of current window of user Debbie	None	0	None	0	None	0	None	0	Enrichment-Configuration Change	10	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Create Account Persistence (T1136)	7.A.1	Added user Jesse to Conficker (10.0.0.5) through RDP connection	Telemetry Enrichment-Configuration Change	20	Specific Behavior-Configuration Change	55	Telemetry	10	None	0	Telemetry-Configuration Change	5	None	0	Telemetry	10
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
System Information Discovery Discovery (T1082)	2.E.2	Cobalt Strike: 'net config workstation' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	2.E.1	Cobalt Strike: 'systeminfo' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed General Behavior-Delayed	65	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
	12.E.1.6.1	Empire: WinEnum module included enumeration of system information	None	0	None	0	Telemetry	10	None	0	Telemetry	10	None	0	Telemetry-Tainted	15
	12.E.1.6.2	Empire: WinEnum module included enumeration of Windows update information	None	0	None	0	None	0	None	0	Telemetry	10	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
File and Directory Discovery Discovery (T1083)	18.A.1	Empire: 'Get-ChildItem' via PowerShell to enumerate a network shared drive (Wormshare) on Conficker (10.0.0.5)	None	0	None	0	None	0	None	0	Telemetry	10	None	0	None	0
	8.A.1	Cobalt Strike: 'dir /s /b "\\conficker\wormshare"' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted Enrichment-Tainted-Delayed	30	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	8.A.2	Cobalt Strike: 'tree "C:\Users\debbie"' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed-Tainted General Behavior-Delayed	70	Telemetry-Tainted Enrichment-Tainted-Delayed	30	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	12.E.1.4.2	Empire: WinEnum module included enumeration of interesting files	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.E.1.4.1	Empire: WinEnum module included enumeration of recently opened files	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	9.A.1	Cobalt Strike: 'ls' (List) via Win32 APIs to enumerate a network shared drive (Wormshare) on Conficker (10.0.0.5)	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	16.K.1	Empire: 'type' via PowerShell to remotely enumerate a specific file (update.vbs) on Creeper (10.0.0.4)	None	0	None	0	None	0	None	0	None	0	None	0	Telemetry	10
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Credentials in Files Credential Access (T1081)	15.B.1	Empire: 'get-content' via PowerShell to collect sensitive file (it_tasks.txt) from a network shared drive (Wormshare) on Conficker (10.0.0.5)	None	0	None	0	Telemetry Specific Behavior-Delayed	65	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
PowerShell Execution (T1086)	13.C.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.F.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	17.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	17.B.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.F.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	17.C.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.G.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.G.2		None	0	None	0	None	0	None	0	Telemetry	10	None	0	None	0
	12.D.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	18.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.E.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.C.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	18.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	17.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	16.K.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	11.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	16.H.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.A.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	19.D.1		None	0	None	0	None	0	None	0	Telemetry	10	None	0	None	0
	19.D.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	16.I.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	16.J.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	15.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	13.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	13.B.2		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	13.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	16.L.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Account Discovery Discovery (T1087)	2.G.2	Cobalt Strike: 'net user george /domain' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
	12.G.1	Empire: 'net user' via PowerShell	Telemetry Enrichment	25	Enrichment-Tainted	20	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted Enrichment-Tainted-Delayed	30	Telemetry-Tainted General Behavior-Delayed	40	Telemetry	10	Telemetry-Tainted	15
	12.G.2	Empire: 'net user /domain' via PowerShell	Telemetry Enrichment	25	Enrichment-Tainted	20	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted Enrichment-Tainted-Delayed	30	Telemetry-Tainted General Behavior-Delayed Specific Behavior-Delayed	95	Telemetry	10	Telemetry-Tainted	15
	7.A.1	Microsoft Management Console (Local Users and Groups snap-in) GUI utility displayed user account information	Telemetry	10	Telemetry-Tainted	15	Telemetry	10	Telemetry	10	Telemetry	10	None	0	None	0
	2.G.1	Cobalt Strike: 'net user /domain' via cmd	Telemetry Enrichment	25	Enrichment-Tainted	20	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Rundll32 Defense Evasion, Execution (T1085)	1.A.1	Previously executed batch file (pdfhelper.cmd) launched a DLL payload (update.dat) using Rundll32	Telemetry Enrichment	25	Telemetry-Tainted	15	Specific Behavior General Behavior-Delayed Telemetry	95	Telemetry-Tainted Specific Behavior-Tainted	80	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
System Network Connections Discovery Discovery (T1049)	12.E.1.12	Empire: WinEnum module included enumeration of established network connections	Telemetry Enrichment	25	None	0	Telemetry-Tainted	15	Telemetry-Tainted Enrichment-Tainted-Delayed	30	Telemetry-Tainted General Behavior-Delayed	40	Telemetry	10	Telemetry-Tainted	15
	13.B.1	Empire: 'net use' via PowerShell	Enrichment Telemetry	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Specific Behavior-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	95	Telemetry-Tainted General Behavior-Delayed	40	Telemetry	10	Telemetry-Tainted	15
	13.B.2	Empire: 'netstat -ano' via PowerShell	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted Enrichment-Delayed-Tainted	30	Telemetry-Tainted General Behavior-Delayed	40	None	0	Telemetry-Tainted	15
	4.C.1	Cobalt Strike: 'netstat -ano' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	General Behavior-Delayed Telemetry General Behavior-Delayed	60	Telemetry Enrichment-Delayed	20	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Bypass User Account Control Defense Evasion, Privilege Escalation (T1088)	3.A.1	Cobalt Strike: Built-in UAC bypass token duplication capability executed to elevate process integrity level	None	0	None	0	Telemetry	10	Telemetry	10	Telemetry-Tainted	15	None	0	Telemetry	10
	14.A.1	Empire: Built-in UAC bypass token duplication module executed to launch new callback with elevated process integrity level	None	0	None	0	Telemetry Specific Behavior-Delayed	65	Telemetry	10	Telemetry-Tainted	15	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Process Discovery Discovery (T1057)	2.C.1	Cobalt Strike: 'ps' (Process status) via Win32 APIs	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.C.2	Cobalt Strike: 'tasklist /v' via cmd	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted General Behavior-Configuration Change-Delayed-Tainted	40	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
	3.B.1	Cobalt Strike: 'ps' (Process status) via Win32 APIs	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	8.B.1	Cobalt Strike: 'ps' (Process status) via Win32 APIs	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.C.1	Empire: 'qprocess *' via PowerShell	Telemetry Enrichment	25	Telemetry-Tainted	15	General Behavior-Delayed-Tainted Telemetry General Behavior-Delayed	65	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Data Encrypted Exfiltration (T1022)	19.B.1	Empire: Executed binary (recycler.exe) created encrypted archive (old.rar) of previously collected file	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change Telemetry-Tainted	30	Specific Behavior-Tainted Telemetry Specific Behavior-Delayed	130	Specific Behavior-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	95	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Input Capture collection, Credential Access (T1056)	8.C.1	Cobalt Strike: Built-in keylogging capability executed to capture keystrokes of user Debbie	None	0	None	0	None	0	None	0	Telemetry-Configuration Change Specific Behavior-Delayed	60	None	0	Telemetry-Tainted	15
	15.A.1	Empire: Built-in keylogging module executed to capture keystrokes of user Bob	Telemetry Enrichment	25	None	0	Telemetry General Behavior-Delayed	35	None	0	Telemetry-Tainted Specific Behavior-Delayed	70	None	0	Enrichment-Tainted	20
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Multiband Communication Command and Control (T1026)	6.B.1	Cobalt Strike: C2 channel modified to split communications between both HTTP and DNS	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Windows Admin Shares Lateral Movement (T1077)	16.B.1	Empire: Successful authentication targeted Windows admin share on Conficker (10.0.0.5)	Telemetry Specific Behavior	70	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed-Tainted General Behavior-Delayed	70	Specific Behavior-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	95	Telemetry-Tainted Specific Behavior-Delayed	70	Telemetry	10	Telemetry-Tainted	15
	16.D.1	Empire: Successful authentication targeted Windows admin shares on Conficker (10.0.0.5)	Telemetry Specific Behavior	70	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Specific Behavior-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	95	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	16.A.1	Empire: Brute force password spraying attempts targeted Windows admin shares on Morris (10.0.1.4) and Nimda (10.0.1.6)	Telemetry Specific Behavior	70	Enrichment-Tainted	20	Telemetry General Behavior-Delayed-Tainted General Behavior-Delayed	65	Specific Behavior-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	95	Telemetry-Tainted Specific Behavior-Delayed	70	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Clipboard Data collection (T1115)	12.E.1.5	Empire: WinEnum module included enumeration of clipboard contents	None	0	None	0	None	0	Telemetry-Tainted	15	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
New Service Persistence, Privilege Escalation (T1050)	16.I.1	Empire: 'sc create' via PowerShell to remotely create a service on Creeper (10.0.0.4)	Telemetry Specific Behavior	70	Telemetry-Tainted Specific Behavior-Configuration Change	70	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted Enrichment-Delayed-Tainted Specific Behavior	90	Telemetry-Tainted Specific Behavior	75	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Permission Groups Discovery Discovery (T1069)	12.E.1.2	Empire: WinEnum module included enumeration of AD group memberships	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.F.1	Empire: 'net group "Domain Admins" /domain' via PowerShell	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted Enrichment-Tainted General Behavior-Delayed	60	Telemetry-Tainted Enrichment-Tainted-Delayed Enrichment-Tainted	50	Telemetry-Tainted General Behavior-Delayed	40	Telemetry	10	Telemetry-Tainted	15
	12.F.2	Empire: 'net localgroup administrators' via PowerShell	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted Enrichment-Tainted-Delayed Enrichment-Tainted	50	Telemetry-Tainted General Behavior-Delayed	40	Telemetry	10	Telemetry-Tainted	15
	2.F.1	Cobalt Strike: 'net localgroup administrators' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted General Behavior-Delayed General Behavior-Delayed	65	Telemetry-Tainted Enrichment-Tainted General Behavior-Configuration Change-Delayed-Tainted	60	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
	2.F.3	Cobalt Strike: 'net group "Domain Admins" /domain' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Enrichment-Tainted Telemetry-Tainted General Behavior-Delayed	60	Telemetry-Tainted Enrichment-Tainted General Behavior-Configuration Change-Delayed-Tainted	60	Telemetry General Behavior-Delayed	35	Telemetry Enrichment	25	Telemetry-Tainted	15
	2.F.2	Cobalt Strike: 'net localgroup administrators /domain' via cmd	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted Enrichment-Tainted General Behavior-Configuration Change-Delayed-Tainted	60	Telemetry General Behavior-Delayed	35	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
File Deletion Defense Evasion (T1107)	19.D.1	Empire: 'del C:\"$"Recycle.bin\old.rar'	Telemetry	10	Telemetry-Tainted	15	Telemetry Specific Behavior-Delayed	65	None	0	None	0	None	0	Telemetry-Tainted	15
	19.D.2	Empire: 'del recycler.exe'	Telemetry	10	Telemetry-Tainted	15	Telemetry Specific Behavior-Delayed	65	Telemetry	10	None	0	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Execution through API Execution (T1106)	8.C.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	3.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	8.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	9.B.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	8.D.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	9.A.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	2.C.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.E.1		None	0	None	0	None	0	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Remote File Copy Command and Control, Lateral Movement (T1105)	19.A.1	Empire: Built-in upload module executed to write binary (recycler.exe) to disk on CodeRed (10.0.1.5)	Telemetry	10	General Behavior-Configuration Change Telemetry-Tainted	40	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	7.B.1	Cobalt Strike: Built-in upload capability executed to write a DLL payload (updater.dll) to disk on Nimda (10.0.1.6)	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry	10	Telemetry-Tainted	15
	16.E.1	Empire: Built-in upload module executed to write malicious VBScript (autoupdate.vbs) to disk on CodeRed (10.0.1.5)	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	14.A.1	Empire: UAC bypass module downloaded and wrote a new Empire stager (wdbypass) to disk	Telemetry	10	Telemetry-Tainted	15	Specific Behavior-Delayed	55	Telemetry	10	Telemetry-Tainted	15	None	0	None	0
	16.G.1	Empire: Built-in move capability executed to write malicious VBScript (update.vbs) to disk on Creeper (10.0.0.4)	Telemetry	10	Enrichment-Tainted-Configuration Change	15	Telemetry	10	Telemetry	10	Telemetry-Tainted	15	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Access Token Manipulation Defense Evasion, Privilege Escalation (T1134)	3.A.1	Cobalt Strike: Built-in UAC bypass token duplication capability executed to modify current process token	Telemetry	10	None	0	None	0	Telemetry	10	Telemetry-Tainted	15	None	0	None	0
	5.B.1	Cobalt Strike: Built-in token theft capability executed to change user context to George	Telemetry	10	None	0	Telemetry	10	Specific Behavior Telemetry-Tainted	75	Telemetry-Tainted	15	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Scripting Defense Evasion, Execution (T1064)	1.A.1	Previously executed self-extracting archive (Resume Viewer.exe) launched an embedded batch file (pdfhelper.cmd)	Telemetry Enrichment	25	Telemetry-Tainted	15	General Behavior-Delayed Telemetry	35	Telemetry-Tainted	15	Telemetry	10	None	0	Telemetry-Tainted	15
	11.A.1	Legitimate user Bob clicked and executed malicious VBScript (autoupdate.vbs) on 10.0.1.5 (CodeRed)	Enrichment Telemetry Specific Behavior Specific Behavior	145	Telemetry-Tainted	15	Specific Behavior General Behavior-Delayed Telemetry Specific Behavior-Delayed	150	Specific Behavior Telemetry-Tainted Specific Behavior	135	Telemetry Specific Behavior Specific Behavior-Delayed Specific Behavior	185	Telemetry	10	Telemetry General Behavior	40
	12.E.1	Empire: Built-in WinEnum module executed to programmatically execute a series of enumeration techniques	Telemetry	10	Telemetry	10	Telemetry Specific Behavior-Delayed Specific Behavior-Delayed	120	Specific Behavior-Tainted Telemetry-Tainted	80	Telemetry-Tainted Specific Behavior	75	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Credential Dumping Credential Access (T1003)	5.A.1	Cobalt Strike: Built-in Mimikatz credential dump capability executed	Telemetry Specific Behavior	70	None	0	Specific Behavior-Tainted Telemetry General Behavior-Delayed-Tainted	105	Specific Behavior	60	Enrichment-Tainted Specific Behavior-Delayed	75	None	0	None	0
	5.A.2	Cobalt Strike: Built-in hash dump capability executed	Telemetry	10	Telemetry-Tainted	15	Specific Behavior-Tainted Specific Behavior-Tainted Telemetry General Behavior-Delayed-Tainted	170	Specific Behavior	60	Enrichment-Tainted	20	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Exfiltration Over Command and Control Channel Exfiltration (T1041)	9.B.1	Cobalt Strike: Download capability exfiltrated data through existing C2 channel	None	0	None	0	None	0	None	0	None	0	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Registry Run Keys / Startup Folder Persistence (T1060)	10.A.1	Batch file (autoupdate.bat) previously written to Startup folder executed when user Debbie logs on to Nimda (10.0.1.6), launching a DLL payload (update.dat) using Rundll32	Telemetry	10	Telemetry	10	Telemetry	10	Telemetry-Tainted	15	Telemetry	10	Telemetry	10	Telemetry	10
	1.B.1	Previously executed batch file (pdfhelper.cmd) moved a separate batch file (autoupdate.bat) to the Startup folder	Telemetry Enrichment	25	Telemetry	10	Telemetry	10	Telemetry-Tainted Specific Behavior-Tainted	80	Telemetry	10	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Graphical User Interface Execution (T1061)	7.A.1	Microsoft Management Console (Local Users and Groups snap-in) GUI utility used to add new user through RDP connection	Telemetry	10	Telemetry-Tainted	15	Telemetry	10	Telemetry	10	Telemetry	10	None	0	None	0
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Exfiltration Over Alternative Protocol Exfiltration (T1048)	19.C.1	Empire: Sequence of 'echo' commands via PowerShell to populate commands in text file (ftp.txt), which is then executed by FTP to exfil data through network connection separate of existing C2 channel	Telemetry Enrichment	25	Telemetry-Tainted	15	General Behavior-Delayed-Tainted Telemetry Specific Behavior-Delayed	95	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Security Software Discovery Discovery (T1063)	12.E.1.10.2	Empire: WinEnum module included enumeration of firewall rules	None	0	None	0	None	0	None	0	None	0	None	0	None	0
	12.E.1.10.1	Empire: WinEnum module included enumeration of AV solutions	None	0	None	0	None	0	None	0	None	0	None	0	Enrichment-Tainted Telemetry-Tainted	35
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Data Compressed Exfiltration (T1002)	19.B.1	Empire: Executed binary (recycler.exe) created compressed archive (old.rar) of previously collected file	Telemetry Enrichment	25	Enrichment-Tainted-Configuration Change Telemetry-Tainted	30	Specific Behavior-Tainted Telemetry Specific Behavior-Delayed	130	Specific Behavior-Tainted Telemetry-Tainted Enrichment-Delayed-Tainted	95	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Network Share Connection Removal Defense Evasion (T1126)	16.C.1	Empire: 'net use /delete' via PowerShell	Telemetry Specific Behavior	70	Telemetry-Tainted	15	Telemetry-Tainted General Behavior-Delayed	40	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Commonly Used Port Command and Control (T1043)	6.B.1	Cobalt Strike: C2 channel modified to use port 80	Telemetry Enrichment	25	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	1.C.1	Cobalt Strike: C2 channel established using port 53	Telemetry	10	None	0	None	0	None	0	None	0	None	0	None	0
	14.A.1	Empire: UAC bypass module downloaded a new Empire stager (wdbypass) over port 8080	Telemetry	10	Telemetry-Tainted	15	Telemetry	10	General Behavior Telemetry	40	Telemetry-Tainted	15	Telemetry	10	Telemetry-Tainted	15
	11.B.1	Empire: C2 channel established using port 443	Enrichment Telemetry	25	Telemetry	10	Telemetry-Tainted	15	Telemetry-Tainted Specific Behavior-Tainted	80	Telemetry-Tainted	15	None	0	Telemetry-Tainted	15
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
Accessibility Features Persistence, Privilege Escalation (T1015)	17.C.1	Empire: 'copy' via PowerShell to overwrite magnify.exe with cmd.exe	Telemetry Specific Behavior	70	Enrichment-Tainted-Configuration Change Telemetry-Tainted	30	Telemetry-Tainted	15	Specific Behavior Telemetry-Tainted Enrichment-Delayed-Tainted	90	Telemetry Specific Behavior	70	Telemetry	10	Telemetry-Tainted	15
	20.A.1	magnifer.exe previously overwritten by cmd.exe launched through RDP connection made to Creeper (10.0.0.4)	Telemetry Specific Behavior General Behavior General Behavior	130	Telemetry-Tainted	15	Specific Behavior Telemetry General Behavior-Delayed	95	Specific Behavior Telemetry-Tainted Enrichment-Delayed-Tainted	90	Telemetry Specific Behavior	70	Telemetry	10	Telemetry	10
Technique	Step	Procedures	CarbonBlack		CounterTack		CrowdStrike		Endgame		Microsoft		RSA		SentinelOne
TOTAL SCORE			2800		1835		4925		4045		3125		775		1590