T1499.004: Эксплуатация уязвимостей ПО
Злоумышленники могут использовать уязвимости в программном обеспечении, способные привести к сбою приложения или системы и сделать их недоступными для пользователей . Некоторые системы могут автоматически перезапускать критически важные приложения и службы при возникновении в них сбоев, однако злоумышленники могут повторно эксплуатировать уязвимости, чтобы вызывать постоянный отказ в обслуживании (DoS).
Злоумышленники могут использовать известные уязвимости или уязвимости нулевого дня для нарушения работы приложений и (или) систем, что также может привести к тому, что зависимые от них приложения и (или) системы окажутся в состоянии отказа в облуживании (DoS). Сбои и перезапуски приложений или систем могут иметь и другие последствия, такие как уничтожение данных, повреждение прошивки и остановка службы, что может усугубить ситуацию DoS и сделать недоступными критически важные данные, приложения и (или) системы.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на эксплуатацию уязвимостей в программном обеспечении, способную привести к сбою приложения или системы и сделать их недоступными для пользователей . Записи об атаках на веб-приложения могут регистрироваться в журналах веб-серверов, серверных приложений и (или) серверов баз данных, что позволяет определить тип атаки. Осуществляйте внешний мониторинг доступности служб, которые могут быть затронуты DoS-атаками на конечные системы. |
---|
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Иногда DoS-атаки на конечные точки можно обнаружить до того, как они нарушат работу сервиса, однако для этого нужен очень строгий мониторинг и оперативное реагирование. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов). |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Используйте услуги, предоставляемые сетями доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак, для фильтрации трафика, идущего от сервисов. Фильтруйте пограничный трафик, блокируя адреса источников атаки, порты, на которые направлена атака, или соответствующие транспортные протоколы. |
---|