T1583.003: Виртуальный выделенный сервер
Злоумышленники могут арендовать виртуальные выделенные серверы (VPS), чтобы использовать их для атак. Существует множество поставщиков облачных сервисов, предлагающих виртуальные машины и контейнеры. Использование VPS может мешать физически проследить вредоносные действия до конкретных злоумышленников. Облачная инфраструктура также облегчает злоумышленникам задачи быстрого развертывания, изменения и отключения инфраструктуры.
Применение платных услуг VPS на поздних этапах атак, таких как взаимодействие с командными серверами, обеспечивает злоумышленникам прикрытие за счет хорошей репутации и распространенности известных поставщиков облачных сервисов. Злоумышленники также могут приобретать инфраструктуру у поставщиков VPS, которые оформляют аренду даже с минимальной регистрационной информацией, что позволяет сохранять анонимность.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники подготовили VPS-сервер для своих нужд (например, как командный сервер), интернет-сканирование может выявить его. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
---|
ID | DS0035 | Источник и компонент данных | Скан интернета: Метаданные ответа | Описание | Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|