Техника на mitre.org

T1204.001: Вредоносная ссылка

Для запуска вредоносного кода злоумышленнику может быть необходимо, чтобы пользователь нажал на вредоносную ссылку. Часто для этого применяется социальная инженерия: жертву обманом заставляют перейти по ссылке, по нажатии на которую выполняется код. Как правило, пользователи совершают такие действия в результате применения злоумышленниками техники Целевой фишинг со ссылкой. Переход по ссылке может также привести к реализации других техник выполнения вредоносного кода, таких как Эксплуатация уязвимостей в клиентском ПО — браузере или приложении. Также по ссылкам на устройство пользователя могут скачиваться вредоносные файлы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_initial_access: PT-CR-2415: External_Link_Clicked: Пользователь перешел по внешней ссылке

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте вредоносные документы и файлы, загруженные по ссылке и запущенные на компьютере пользователя.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и проверяйте пакеты, связанные с сетевыми интернет-подключениями к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например, следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, и аномальные соединения, инициируемые файлами regsvr32.exe, rundll.exe и msiexec.exe, а также файлами форматов SCF, HTA, MSI и DLL).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых интернет-подключений к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например, следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, и аномальные соединения, инициируемые файлами regsvr32.exe, rundll.exe и msiexec.exe, а также файлами форматов SCF, HTA, MSI и DLL).

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте вредоносные документы и файлы, загруженные по ссылке и запущенные на компьютере пользователя.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и проверяйте пакеты, связанные с сетевыми интернет-подключениями к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например, следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, и аномальные соединения, инициируемые файлами regsvr32.exe, rundll.exe и msiexec.exe, а также файлами форматов SCF, HTA, MSI и DLL).
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых интернет-подключений к вредоносным или подозрительным адресам (например, связанным с фишинговыми кампаниями). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например, следует отслеживать необычное использование файлов, которые обычно не инициируют сетевые соединения, и аномальные соединения, инициируемые файлами regsvr32.exe, rundll.exe и msiexec.exe, а также файлами форматов SCF, HTA, MSI и DLL).

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Информируйте пользователей о распространенных техниках фишинга и целевого фишинга, научите их распознавать потенциально вредоносные события.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Для случаев, когда пользователь переходит по ссылке, с целью блокировки активности можно использовать системы предотвращения вторжения в сеть и системы, предназначенные для сканирования и удаления вредоносных загрузок.

ID	M1021	Название	Ограничения для веб-контента	Описание	Для случаев, когда пользователь переходит по ссылке, заблокируйте по умолчанию или с помощью политики неизвестные и неиспользуемые файлы, которые не следует загружать (такие как файлы с расширениями .scr, .exe, .pif и .cpl), с целью защиты от некоторых векторов атак. Некоторые устройства сканирования загрузок могут открывать и анализировать файлы в сжатых и зашифрованных форматах (таких как zip и rar), которые могут использоваться для сокрытия вредоносных файлов.

ID	Название	Описание
M1017	Обучение пользователей	Информируйте пользователей о распространенных техниках фишинга и целевого фишинга, научите их распознавать потенциально вредоносные события.
M1031	Предотвращение сетевых вторжений	Для случаев, когда пользователь переходит по ссылке, с целью блокировки активности можно использовать системы предотвращения вторжения в сеть и системы, предназначенные для сканирования и удаления вредоносных загрузок.
M1021	Ограничения для веб-контента	Для случаев, когда пользователь переходит по ссылке, заблокируйте по умолчанию или с помощью политики неизвестные и неиспользуемые файлы, которые не следует загружать (такие как файлы с расширениями .scr, .exe, .pif и .cpl), с целью защиты от некоторых векторов атак. Некоторые устройства сканирования загрузок могут открывать и анализировать файлы в сжатых и зашифрованных форматах (таких как zip и rar), которые могут использоваться для сокрытия вредоносных файлов.