T1583.006: Веб-сервисы
Злоумышленники могут зарегистрироваться в веб-сервисах, чтобы использовать их для атак. Существует множество популярных сайтов веб-сервисов, на которых могут зарегистрироваться злоумышленники, чтобы использовать их возможности на поздних этапах атак, например для взаимодействия с командным сервером (техника Веб-служба), эксфильтрации через веб-службу и фишинга. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Использование веб-сервисов может мешать физически проследить вредоносные действия до конкретных злоумышленников.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники используют веб-службу в качестве своей инфраструктуры (например, для организации управления), можно искать уникальные известные характеристики, связанные с программным обеспечением злоумышленников. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления через веб-службу или эксфильтрации через веб-службу. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|