T1583.002: DNS-сервер
Злоумышленники могут настроить свои собственные серверы системы доменных имен (DNS), чтобы использовать их для атак. После компрометации злоумышленники могут использовать DNS-трафик для различных задач, в том числе для организации связи с командным сервером (см. технику Протокол прикладного уровня). Для поддержки вредоносных операций злоумышленники могут настроить и запустить свои собственные DNS-серверы вместо перехвата существующих.
Это позволит им лучше контролировать исходящий с сервера командный DNS-трафик (см. технику DNS). Контролируя DNS-сервер, злоумышленники могут настроить предоставление условных ответов на запросы вредоносного ПО и в целом повысить структурную гибкость командного канала, организованного через DNS.
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|