T1583.003: Виртуальный выделенный сервер

Злоумышленники могут арендовать виртуальные выделенные серверы (VPS), чтобы использовать их для атак. Существует множество поставщиков облачных сервисов, предлагающих виртуальные машины и контейнеры. Использование VPS может мешать физически проследить вредоносные действия до конкретных злоумышленников. Облачная инфраструктура также облегчает злоумышленникам задачи быстрого развертывания, изменения и отключения инфраструктуры.

Применение платных услуг VPS на поздних этапах атак, таких как взаимодействие с командными серверами, обеспечивает злоумышленникам прикрытие за счет хорошей репутации и распространенности известных поставщиков облачных сервисов. Злоумышленники также могут приобретать инфраструктуру у поставщиков VPS, которые оформляют аренду даже с минимальной регистрационной информацией, что позволяет сохранять анонимность.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Если злоумышленники подготовили VPS-сервер для своих нужд (например, как командный сервер), интернет-сканирование может выявить его. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

IDDS0035Источник и компонент данныхСкан интернета: Метаданные ответаОписание

Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.