T1204.001: Вредоносная ссылка
Для запуска вредоносного кода злоумышленнику может быть необходимо, чтобы пользователь нажал на вредоносную ссылку. Часто для этого применяется социальная инженерия: жертву обманом заставляют перейти по ссылке, по нажатии на которую выполняется код. Как правило, пользователи совершают такие действия в результате применения злоумышленниками техники Целевой фишинг со ссылкой. Переход по ссылке может также привести к реализации других техник выполнения вредоносного кода, таких как Эксплуатация уязвимостей в клиентском ПО — браузере или приложении. Также по ссылкам на устройство пользователя могут скачиваться вредоносные файлы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_initial_access: PT-CR-2415: External_Link_Clicked: Пользователь перешел по внешней ссылке
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Monitor for newly constructed web-based network connections that are sent to malicious or suspicious destinations (e.g. destinations attributed to phishing campaigns). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments (e.g. monitor anomalies in use of files that do not normally initiate network connections or unusual connections initiated by regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLLs, or msiexec.exe). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated with web-based network connections that are sent to malicious or suspicious detinations (e.g. destinations attributed to phishing campaigns). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments (e.g. monitor anomalies in use of files that do not normally initiate network connections or unusual connections initiated by regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLLs, or msiexec.exe). |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | malicious documents and files that are downloaded from a link and executed on the user's computer |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | If a link is being visited by a user, network intrusion prevention systems and systems designed to scan and remove malicious downloads can be used to block activity. |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Use user training as a way to bring awareness to common phishing and spearphishing techniques and how to raise suspicion for potentially malicious events. |
---|
ID | M1021 | Название | Ограничения для веб-контента | Описание | If a link is being visited by a user, block unknown or unused files in transit by default that should not be downloaded or by policy from suspicious sites as a best practice to prevent some vectors, such as .scr, .exe, .pif, .cpl, etc. Some download scanning devices can open and analyze compressed and encrypted formats, such as zip and rar that may be used to conceal malicious files. |
---|