Техника на mitre.org

T1491.002: Дефейс внешних систем

Злоумышленники могут изменить содержимое, отображаемое внешними системами, которые использует целевая организация, чтобы передать сообщение, запугать или ввести в заблуждение организацию или пользователей. Дефейс внешних систем может вызвать недоверие пользователей к системам и сомнения в их целостности. Внешние веб-ресурсы часто становятся мишенями злоумышленников и хактивистов, которые меняют оформление сайтов для распространения политических сообщений или пропаганды. Техника Дефейс внешних систем может использоваться как катализатор для инициирования определенных событий или как ответ на действия организации или государственных органов. Дефейс веб-сайтов может также использоваться на этапе подготовки атаки, например теневой (drive-by) компрометации, или свидетельствовать о ее подготовке.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий, связанных с незапланированным изменением файлов на внешних веб-серверах

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте незапланированные изменения в содержании внешних веб-сайтов.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, которые могут использоваться для дефейса внешних систем, используемых целевой организацией, с целью отправки организации или отдельным пользователям сообщений, запугивания или введения в заблуждение.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на дефейс внутренних систем организации с целью отправки организации или отдельным пользователям сообщений, запугивания или введения в заблуждение.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0022	Файл: Изменение файла	Отслеживайте незапланированные изменения в содержании внешних веб-сайтов.
DS0022	Файл: Создание файла	Отслеживайте создание файлов, которые могут использоваться для дефейса внешних систем, используемых целевой организацией, с целью отправки организации или отдельным пользователям сообщений, запугивания или введения в заблуждение.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на дефейс внутренних систем организации с целью отправки организации или отдельным пользователям сообщений, запугивания или введения в заблуждение.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1053	Название	Создание резервной копии данных	Описание	По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления.

ID	Название	Описание
M1053	Создание резервной копии данных	По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления.