T1583.002: DNS-сервер

Злоумышленники могут настроить свои собственные серверы системы доменных имен (DNS), чтобы использовать их для атак. После компрометации злоумышленники могут использовать DNS-трафик для различных задач, в том числе для организации связи с командным сервером (см. технику Протокол прикладного уровня). Для поддержки вредоносных операций злоумышленники могут настроить и запустить свои собственные DNS-серверы вместо перехвата существующих.

Это позволит им лучше контролировать исходящий с сервера командный DNS-трафик (см. технику DNS). Контролируя DNS-сервер, злоумышленники могут настроить предоставление условных ответов на запросы вредоносного ПО и в целом повысить структурную гибкость командного канала, организованного через DNS.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.