T1583.007: Бессерверная инфраструктура
Злоумышленники могут приобрести и настроить бессерверную облачную инфраструктуру, такую как Cloudflare Workers или AWS Lambda, чтобы использовать ее для атак. Бессерверную инфраструктуру сложнее связать с использующими ее злоумышленниками.
После приобретения бессерверную среду выполнения можно настроить, чтобы она напрямую отвечала на запросы зараженных систем либо выступала в роли прокси-сервера для коммуникаций с командным сервером, подконтрольным злоумышленнику. Трафик, генерируемый в результате этой деятельности, будет исходить из субдоменов известных поставщиков облачных сервисов, из-за чего его будет сложно отличить от обычного облачного трафика.
Способы обнаружения
| ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники используют бессерверные функции в качестве своей инфраструктуры (например, для организации управления), можно искать уникальные известные характеристики, связанные с программным обеспечением злоумышленников. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников. |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
|---|