T1583: Приобретение инфраструктуры
Злоумышленники могут купить, арендовать на короткий или длительный срок либо иным образом заполучить инфраструктуру, чтобы использовать ее для атак. Существует множество вариантов инфраструктуры для размещения ресурсов и организации коммуникации в ходе вредоносных операций. Инфраструктурные решения включают физические и облачные серверы, домены и сторонние веб-сервисы. Некоторые поставщики предлагают бесплатные пробные периоды, что позволяет получить инфраструктуру практически без финансовых затрат. Для покупки и аренды также доступны ботнеты.
С помощью подобных инфраструктурных решений злоумышленники могут организовывать, запускать и проводить вредоносные операции. Существуют решения, которые могут помочь скрыть вредоносный трафик среди обычного, например с помощью сторонних веб-сервисов или реализации прокси-серверов на основе приобретенной инфраструктуры, включая резидентские прокси-серверы. В зависимости от реализации инфраструктура злоумышленников может затруднять физическое отслеживание ее связи с ними и при этом может быть быстро развернута, изменена или отключена.
Способы обнаружения
| ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники подготовили VPS-сервер для своих нужд (например, как командный сервер), интернет-сканирование может выявить VPS-серверы, подконтрольные злоумышленникам. По возможности выявляйте идентифицируемые шаблоны, в частности, признаки прослушивания служб, используемые сертификаты, особенности взаимодействия по SSL/TLS и другие артефакты ответов, связанные с программным обеспечением командного сервера злоумышленника. В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
|---|
| ID | DS0035 | Источник и компонент данных | Скан интернета: Метаданные ответа | Описание | В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
|---|
| ID | DS0038 | Источник и компонент данных | Доменное имя: Активные данные DNS | Описание | Отслеживайте запрашиваемые данные реестра доменных имен (DNS), которые могут использоваться для покупки или аренды инфраструктуры с целью использовать ее для атак. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
|---|
| ID | DS0038 | Источник и компонент данных | Доменное имя: Пассивные данные DNS | Описание | Отслеживайте зарегистрированные данные системы доменных имен (DNS), которые могут использоваться для покупки или аренды инфраструктуры с целью использовать ее для атак. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
|---|
| ID | DS0038 | Источник и компонент данных | Доменное имя: Регистрация домена | Описание | По возможности применяйте службы (например, баз данных WHOIS с информацией о регистрации доменов), которые могут помочь в отслеживании недавно приобретенной инфраструктуры. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть сосредоточены на действиях, связанных с первоначальным доступом, таких как компрометация, когда блокировщики рекламы могут помочь предотвратить выполнение вредоносного кода. |
|---|