T1583.004: Сервер

Злоумышленники могут купить, арендовать на короткий или длительный срок либо иным образом заполучить физические серверы, чтобы использовать их для атак. С помощью серверов злоумышленники могут организовывать, запускать и проводить вредоносные операции. Злоумышленники могут использовать серверы для различных задач посткомпрометации, например, для атак типа watering hole с целью теневой (drive-by) компрометации, для фишинга или для коммуникаций с командным сервером. Вместо компрометации стороннего сервера или аренды виртуального выделенного сервера злоумышленники могут предпочесть сконфигурировать и запустить собственные серверы для поддержки операций. Также злоумышленники могут злоупотреблять бесплатными пробными периодами облачных серверов.

Злоумышленники могут обойтись облегченной конфигурацией, если большая часть их действий будет полагаться на онлайн-инфраструктуру, или создать обширную инфраструктуру, если они планируют проводить тестирование, обмен информацией и контролировать другие аспекты своей деятельности на собственных системах.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Метаданные ответаОписание

Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Command and Control.

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Once adversaries have provisioned a server (ex: for use as a command and control server), internet scans may reveal servers that adversaries have acquired. Consider looking for identifiable patterns such as services listening, certificates in use, SSL/TLS negotiation features, or other response artifacts associated with adversary C2 software.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.