Матрица MITRE ATT&CK

Техника на mitre.org

T1583.004: Сервер

Злоумышленники могут купить, арендовать на короткий или длительный срок либо иным образом заполучить физические серверы, чтобы использовать их для атак. С помощью серверов злоумышленники могут организовывать, запускать и проводить вредоносные операции. Злоумышленники могут использовать серверы для различных задач посткомпрометации, например, для атак типа watering hole с целью теневой (drive-by) компрометации, для фишинга или для коммуникаций с командным сервером. Вместо компрометации стороннего сервера или аренды виртуального выделенного сервера злоумышленники могут предпочесть сконфигурировать и запустить собственные серверы для поддержки операций. Также злоумышленники могут злоупотреблять бесплатными пробными периодами облачных серверов.

Злоумышленники могут обойтись облегченной конфигурацией, если большая часть их действий будет полагаться на онлайн-инфраструктуру, или создать обширную инфраструктуру, если они планируют проводить тестирование, обмен информацией и контролировать другие аспекты своей деятельности на собственных системах.

Способы обнаружения

ID	DS0035	Источник и компонент данных	Скан интернета: Метаданные ответа	Описание	Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

ID	DS0035	Источник и компонент данных	Скан интернета: Содержимое ответа	Описание	Если злоумышленники подготовили сервер для своих нужд (например, как командный сервер), интернет-сканирование может выявить эти серверы. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS.

ID	Источник и компонент данных	Описание
DS0035	Скан интернета: Метаданные ответа	Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.
DS0035	Скан интернета: Содержимое ответа	Если злоумышленники подготовили сервер для своих нужд (например, как командный сервер), интернет-сканирование может выявить эти серверы. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.