T1189: Теневая (drive-by) компрометация
Злоумышленники могут получить доступ к системе, если пользователь откроет вредоносный сайт при обычном использовании браузера. При использовании этой техники целью атаки обычно является браузер пользователя, однако злоумышленники также могут использовать скомпрометированные веб-сайты для действий, не связанных с эксплуатацией, например для получения токена доступа к приложению.
Существует множество способов внедрения кода эксплойта в браузер (техника Подготовка теневой (drive-by) среды), в том числе:
- компрометация легитимного веб-сайта путем внедрения вредоносного кода, например JavaScript, iFrames или сценариев для межсайтового выполнения;
- изменение файлов сценариев, передаваемых на легитимный веб-сайт из общедоступного облачного хранилища;
- оплата и размещение вредоносных рекламных объявлений через легитимные рекламные агентства (техника Вредоносная реклама);
- использование встроенных интерфейсов веб-приложений для вставки других объектов (например, сообщений на форуме, комментариев и другого пользовательского веб-контента), которые могут отображать веб-контент или содержать сценарий, выполняемый на клиентской стороне при посещении пользователем соответствующего ресурса.
Часто злоумышленники используют веб-сайты определенных сообществ (например, посещаемые сотрудниками госслужб или представителями конкретной отрасли или региона), и целью является компрометация конкретного пользователя или группы пользователей с общими интересами. Такие целенаправленные кампании часто называют компрометацией стратегических веб-ресурсов или атаками типа watering hole. Известно несколько примеров таких кампаний.
Стандартный процесс теневой (drive-by) компрометации состоит из следующих этапов:
- Пользователь посещает веб-сайт, на котором размещен контент, контролируемый злоумышленниками.
- Автоматически выполняются сценарии, которые обычно ищут информацию о версиях браузера и плагинов, чтобы выяснить, являются ли эти версии потенциально уязвимыми.
- На этом этапе может потребоваться участие пользователя, который должен включить использование сценариев или активных компонентов веб-сайта, игнорируя предупреждающие сообщения.
- При обнаружении уязвимой версии в браузер передается код эксплойта.
- Если другие средства защиты отсутствуют, то в случае успешной эксплуатации злоумышленник получит возможность выполнения кода в системе пользователя.
- В некоторых случаях для доставки кода эксплойта требуется повторное посещение сайта пользователем после первоначального сканирования.
В отличие от эксплуатации недостатков в общедоступном приложении, эта техника направлена на эксплуатацию программного обеспечения на конечной клиентской системе при посещении сайта жертвой. В результате злоумышленник обычно получает доступ к системам внутренней сети, а не к внешним системам, которые могут находиться в демилитаризованной зоне (DMZ).
Злоумышленники также могут использовать скомпрометированные веб-сайты для перенаправления пользователя к вредоносному приложению, предназначенному для кражи токена доступа к приложению (например, токенам OAuth), с целью получить доступ к защищенным приложениям и информации. Эти вредоносные приложения собирали учетные данные через всплывающие окна на легитимных веб-сайтах.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD)
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые подключения к недоверенным узлам, используемые для отправки или получения данных. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте необычный сетевой трафик, который может указывать на передачу в систему дополнительных вредоносных инструментов. Используйте системы обнаружения сетевых вторжений, иногда с проверкой SSL/TLS, для поиска известных вредоносных сценариев (часто используются разведывательные сценарии, сценарии для атак типа Heap Spray и сценарии идентификации браузеров), распространенных вариантов обфускации сценариев и кода эксплойтов. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Межсетевые экраны и прокси-серверы могут инспектировать URL-адреса в поисках известных потенциально опасных доменов или параметров. Кроме того, они могут проверять репутацию сайтов и запрашиваемых ресурсов, анализируя такие данные, как возраст домена, зарегистрированный владелец, наличие домена в списках опасных и количество пользователей, ранее подключавшихся к нему. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте активность на конечных устройствах, которая может указывать на компрометацию системы, например нетипичную активность браузера. Сюда же относится запись подозрительных файлов на диск, признаки внедрения кода в процессы для скрытия его выполнения или следы изучения среды. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, записанные на диске, с помощью которых злоумышленники могут получить доступ к системе, если пользователь откроет вредоносный сайт при обычном использовании браузера. |
---|
Меры противодействия
ID | M1050 | Название | Защита от эксплойтов | Описание | Приложения безопасности, которые ищут поведение, используемое во время эксплуатации, такие как Windows Defender Exploit Guard (WDEG) и Enhanced Mitigation Experience Toolkit (EMET), могут быть использованы для смягчения некоторых проявлений эксплуатации . Проверка целостности потока управления — еще один способ потенциально выявить и остановить программный эксплойт . Многие из этих средств защиты зависят от архитектуры и бинарных файлов целевого приложения, обеспечивающих совместимость. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Проследите, чтобы все браузеры и плагины были обновлены, это поможет предотвратить фазу использования этой техники. Используйте современные браузеры с включенными функциями безопасности. |
---|
ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Браузерные песочницы могут быть использованы для смягчения некоторых последствий эксплуатации, но побеги из песочницы все равно могут существовать. Другие типы виртуализации и микросегментации приложений также могут смягчить последствия эксплуатации на стороне клиента. Риски дополнительных эксплойтов и слабых мест в реализации могут по-прежнему существовать для этих типов систем. |
---|
ID | M1021 | Название | Ограничения для веб-контента | Описание | В случаях, когда вредоносный код содержится в рекламе, блокировщики рекламы могут предотвратить его выполнение. Расширения, блокирующие сценарии, могут предотвратить выполнение JavaScript-сценариев, которые часто используются при эксплуатации уязвимостей. |
---|