T1583.001: Домены
Злоумышленники могут завладеть доменами, чтобы использовать их для атак. Доменное имя, или просто домен, — это удобочитаемое название, связываемое с одним или несколькими IP-адресами. Домены можно купить или в некоторых случаях получить бесплатно.
Злоумышленники могут использовать приобретенные домены в различных целях, в том числе для фишинга, теневой (drive-by) компрометации и организации командных серверов. Злоумышленники могут выбирать домены, похожие на легитимные, используя омоглифы или другие домены верхнего уровня. Применение тайпсквоттинга может облегчить злоумышленникам доставку полезной нагрузки в рамках теневой (drive-by) компрометации. Злоумышленники могут использовать интернационализированные доменные имена (IDN) и различные наборы символов (например, кириллицу или греческий алфавит) для создания доменов с названиями, визуально похожими на легитимные, для доставки вредоносного ПО на компьютеры жертв.
Различные URI- и URL-адреса могут генерироваться динамически для доставки жертвам уникального вредоносного содержимого, в том числе через одноразовые доменные имена.
Также злоумышленники могут приобретать и повторно использовать домены с истекшим сроком действия, которые уже могут быть внесены специалистами по безопасности в списки разрешенных или доверенных доменов на основе их репутации или истории.
Каждый регистратор доменов ведет общедоступную базу данных с контактной информацией для каждого зарегистрированного домена. Частные службы WHOIS отображают альтернативную информацию, например свои корпоративные данные, а не владельца домена. Злоумышленники могут использовать частные службы WHOIS, чтобы скрыть информацию о владельце домена. Злоумышленники могут усложнить отслеживание своей инфраструктуры, используя разные регистрационные данные и приобретая домены у различных регистраторов.
Способы обнаружения
ID | DS0038 | Источник и компонент данных | Доменное имя: Пассивная (passive) DNS | Описание | Monitor logged domain name system (DNS) data for purchased domains that can be used during targeting. Reputation/category-based detection may be difficult until the categorization is updated. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access and Command and Control. |
---|
ID | DS0038 | Источник и компонент данных | Доменное имя: Регистрация домена | Описание | Domain registration information is, by design, captured in public registration logs. Consider use of services that may aid in tracking of newly acquired domains, such as WHOIS databases and/or passive DNS. In some cases it may be possible to pivot on known pieces of domain registration information to uncover other infrastructure purchased by the adversary. Consider monitoring for domains created with a similar structure to your own, including under a different TLD. Though various tools and services exist to track, query, and monitor domain name registration information, tracking across multiple DNS infrastructures can require multiple tools/services or more advanced analytics. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access and Command and Control. |
---|
ID | DS0038 | Источник и компонент данных | Доменное имя: Активная (active) DNS | Описание | Monitor queried domain name system (DNS) registry data for purchased domains that can be used during targeting. Reputation/category-based detection may be difficult until the categorization is updated. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access and Command and Control. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | Organizations may intentionally register similar domains to their own to deter adversaries from creating typosquatting domains. Other facets of this technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. |
---|