MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1189: Теневая (drive-by) компрометация

Злоумышленники могут получить доступ к системе, если пользователь откроет вредоносный сайт при обычном использовании браузера. При использовании этой техники целью атаки обычно является браузер пользователя, однако злоумышленники также могут использовать скомпрометированные веб-сайты для действий, не связанных с эксплуатацией, например для получения токена доступа к приложению.

Существует множество способов внедрения кода эксплойта в браузер (техника Подготовка теневой (drive-by) среды), в том числе:

  • компрометация легитимного веб-сайта путем внедрения вредоносного кода, например JavaScript, iFrames или сценариев для межсайтового выполнения;
  • изменение файлов сценариев, передаваемых на легитимный веб-сайт из общедоступного облачного хранилища;
  • оплата и размещение вредоносных рекламных объявлений через легитимные рекламные агентства (техника Вредоносная реклама);
  • использование встроенных интерфейсов веб-приложений для вставки других объектов (например, сообщений на форуме, комментариев и другого пользовательского веб-контента), которые могут отображать веб-контент или содержать сценарий, выполняемый на клиентской стороне при посещении пользователем соответствующего ресурса.

Часто злоумышленники используют веб-сайты определенных сообществ (например, посещаемые сотрудниками госслужб или представителями конкретной отрасли или региона), и целью является компрометация конкретного пользователя или группы пользователей с общими интересами. Такие целенаправленные кампании часто называют компрометацией стратегических веб-ресурсов или атаками типа watering hole. Известно несколько примеров таких кампаний.

Стандартный процесс теневой (drive-by) компрометации состоит из следующих этапов:

  1. Пользователь посещает веб-сайт, на котором размещен контент, контролируемый злоумышленниками.
  2. Автоматически выполняются сценарии, которые обычно ищут информацию о версиях браузера и плагинов, чтобы выяснить, являются ли эти версии потенциально уязвимыми.
    • На этом этапе может потребоваться участие пользователя, который должен включить использование сценариев или активных компонентов веб-сайта, игнорируя предупреждающие сообщения.
  3. При обнаружении уязвимой версии в браузер передается код эксплойта.
  4. Если другие средства защиты отсутствуют, то в случае успешной эксплуатации злоумышленник получит возможность выполнения кода в системе пользователя.
    • В некоторых случаях для доставки кода эксплойта требуется повторное посещение сайта пользователем после первоначального сканирования.

В отличие от эксплуатации недостатков в общедоступном приложении, эта техника направлена на эксплуатацию программного обеспечения на конечной клиентской системе при посещении сайта жертвой. В результате злоумышленник обычно получает доступ к системам внутренней сети, а не к внешним системам, которые могут находиться в демилитаризованной зоне (DMZ).

Злоумышленники также могут использовать скомпрометированные веб-сайты для перенаправления пользователя к вредоносному приложению, предназначенному для кражи токена доступа к приложению (например, токенам OAuth), с целью получить доступ к защищенным приложениям и информации. Эти вредоносные приложения собирали учетные данные через всплывающие окна на легитимных веб-сайтах.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD)

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые подключения к недоверенным узлам, используемые для отправки или получения данных.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте необычный сетевой трафик, который может указывать на передачу в систему дополнительных вредоносных инструментов. Используйте системы обнаружения сетевых вторжений, иногда с проверкой SSL/TLS, для поиска известных вредоносных сценариев (часто используются разведывательные сценарии, сценарии для атак типа Heap Spray и сценарии идентификации браузеров), распространенных вариантов обфускации сценариев и кода эксплойтов.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Межсетевые экраны и прокси-серверы могут инспектировать URL-адреса в поисках известных потенциально опасных доменов или параметров. Кроме того, они могут проверять репутацию сайтов и запрашиваемых ресурсов, анализируя такие данные, как возраст домена, зарегистрированный владелец, наличие домена в списках опасных и количество пользователей, ранее подключавшихся к нему.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте активность на конечных устройствах, которая может указывать на компрометацию системы, например нетипичную активность браузера. Сюда же относится запись подозрительных файлов на диск, признаки внедрения кода в процессы для скрытия его выполнения или следы изучения среды.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, записанные на диске, с помощью которых злоумышленники могут получить доступ к системе, если пользователь откроет вредоносный сайт при обычном использовании браузера.

Меры противодействия

IDM1050НазваниеЗащита от эксплойтовОписание

Приложения безопасности, которые ищут поведение, используемое во время эксплуатации, такие как Windows Defender Exploit Guard (WDEG) и Enhanced Mitigation Experience Toolkit (EMET), могут быть использованы для смягчения некоторых проявлений эксплуатации . Проверка целостности потока управления — еще один способ потенциально выявить и остановить программный эксплойт . Многие из этих средств защиты зависят от архитектуры и бинарных файлов целевого приложения, обеспечивающих совместимость.

IDM1051НазваниеОбновление ПООписание

Проследите, чтобы все браузеры и плагины были обновлены, это поможет предотвратить фазу использования этой техники. Используйте современные браузеры с включенными функциями безопасности.

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Браузерные песочницы могут быть использованы для смягчения некоторых последствий эксплуатации, но побеги из песочницы все равно могут существовать.

Другие типы виртуализации и микросегментации приложений также могут смягчить последствия эксплуатации на стороне клиента. Риски дополнительных эксплойтов и слабых мест в реализации могут по-прежнему существовать для этих типов систем.

IDM1021НазваниеОграничения для веб-контентаОписание

В случаях, когда вредоносный код содержится в рекламе, блокировщики рекламы могут предотвратить его выполнение.

Расширения, блокирующие сценарии, могут предотвратить выполнение JavaScript-сценариев, которые часто используются при эксплуатации уязвимостей.