Матрица MITRE ATT&CK

Техника на mitre.org

T1583.001: Домены

Злоумышленники могут завладеть доменами, чтобы использовать их для атак. Доменное имя, или просто домен, — это удобочитаемое название, связываемое с одним или несколькими IP-адресами. Домены можно купить или в некоторых случаях получить бесплатно.

Злоумышленники могут использовать приобретенные домены в различных целях, в том числе для фишинга, теневой (drive-by) компрометации и организации командных серверов. Злоумышленники могут выбирать домены, похожие на легитимные, используя омоглифы или другие домены верхнего уровня. Применение тайпсквоттинга может облегчить злоумышленникам доставку полезной нагрузки в рамках теневой (drive-by) компрометации. Злоумышленники могут использовать интернационализированные доменные имена (IDN) и различные наборы символов (например, кириллицу или греческий алфавит) для создания доменов с названиями, визуально похожими на легитимные, для доставки вредоносного ПО на компьютеры жертв.

Различные URI- и URL-адреса могут генерироваться динамически для доставки жертвам уникального вредоносного содержимого, в том числе через одноразовые доменные имена.

Также злоумышленники могут приобретать и повторно использовать домены с истекшим сроком действия, которые уже могут быть внесены специалистами по безопасности в списки разрешенных или доверенных доменов на основе их репутации или истории.

Каждый регистратор доменов ведет общедоступную базу данных с контактной информацией для каждого зарегистрированного домена. Частные службы WHOIS отображают альтернативную информацию, например свои корпоративные данные, а не владельца домена. Злоумышленники могут использовать частные службы WHOIS, чтобы скрыть информацию о владельце домена. Злоумышленники могут усложнить отслеживание своей инфраструктуры, используя разные регистрационные данные и приобретая домены у различных регистраторов.

Способы обнаружения

ID	DS0038	Источник и компонент данных	Доменное имя: Пассивные данные DNS	Описание	Отслеживайте зарегистрированные данные системы доменных имен (DNS) на наличие в них купленных доменов, которые могут быть использованы для атак. Обнаружение на основе репутации или категорий может быть затруднено до тех пор, пока не будет обновлена категоризация. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа и организации управления.

ID	DS0038	Источник и компонент данных	Доменное имя: Регистрация домена	Описание	Вся информация о регистрации доменов должна храниться в общедоступных журналах регистрации. По возможности применяйте службы (например, баз данных WHOIS и (или) пассивных данных DNS), которые могут помочь в отслеживании недавно купленных доменов. В некоторых случаях можно использовать известную информацию о регистрации доменов для выявления другой инфраструктуры, приобретенной злоумышленником. По возможности отслеживайте созданные домены, похожие на ваш по структуре, включая те, что зарегистрированы под другим доменом верхнего уровня (TLD). Существуют различные инструменты и службы для отслеживания, запроса и мониторинга информации о регистрации доменных имен, однако для отслеживания в нескольких инфраструктурах DNS может потребоваться несколько инструментов/служб или более продвинутые аналитики. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа и организации управления.

ID	DS0038	Источник и компонент данных	Доменное имя: Активные данные DNS	Описание	Отслеживайте запрашиваемые данные реестра доменных имен (DNS) на наличие в них купленных доменов, которые могут быть использованы для атак. Обнаружение на основе репутации или категорий может быть затруднено до тех пор, пока не будет обновлена категоризация. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа и организации управления.

ID	Источник и компонент данных	Описание
DS0038	Доменное имя: Пассивные данные DNS	Отслеживайте зарегистрированные данные системы доменных имен (DNS) на наличие в них купленных доменов, которые могут быть использованы для атак. Обнаружение на основе репутации или категорий может быть затруднено до тех пор, пока не будет обновлена категоризация. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа и организации управления.
DS0038	Доменное имя: Регистрация домена	Вся информация о регистрации доменов должна храниться в общедоступных журналах регистрации. По возможности применяйте службы (например, баз данных WHOIS и (или) пассивных данных DNS), которые могут помочь в отслеживании недавно купленных доменов. В некоторых случаях можно использовать известную информацию о регистрации доменов для выявления другой инфраструктуры, приобретенной злоумышленником. По возможности отслеживайте созданные домены, похожие на ваш по структуре, включая те, что зарегистрированы под другим доменом верхнего уровня (TLD). Существуют различные инструменты и службы для отслеживания, запроса и мониторинга информации о регистрации доменных имен, однако для отслеживания в нескольких инфраструктурах DNS может потребоваться несколько инструментов/служб или более продвинутые аналитики. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа и организации управления.
DS0038	Доменное имя: Активные данные DNS	Отслеживайте запрашиваемые данные реестра доменных имен (DNS) на наличие в них купленных доменов, которые могут быть использованы для атак. Обнаружение на основе репутации или категорий может быть затруднено до тех пор, пока не будет обновлена категоризация. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа и организации управления.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	Организации могут намеренно регистрировать домены, схожие с их собственными, чтобы удержать злоумышленников от тайпсквоттинга доменов. Другие аспекты этой техники не могут быть легко уменьшены с помощью превентивных мер контроля, поскольку они основаны на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.

ID	Название	Описание
M1056	Предкомпрометация	Организации могут намеренно регистрировать домены, схожие с их собственными, чтобы удержать злоумышленников от тайпсквоттинга доменов. Другие аспекты этой техники не могут быть легко уменьшены с помощью превентивных мер контроля, поскольку они основаны на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.