Матрица MITRE ATT&CK

Техника на mitre.org

T1584: Компрометация сторонней инфраструктуры

Злоумышленники могут скомпрометировать стороннюю инфраструктуру, чтобы использовать ее для атак. Инфраструктурные решения включают физические и облачные серверы, домены, сетевые устройства, а также сторонние веб-службы и серверы DNS. Вместо покупки или краткосрочной либо долгосрочной аренды инфраструктуры, злоумышленник может скомпрометировать ее и использовать на дальнейших этапах атаки. Кроме того, злоумышленники могут скомпрометировать большой пул машин, чтобы сформировать из них ботнет.

С помощью скомпрометированной инфраструктуры злоумышленники могут организовывать, запускать и проводить вредоносные операции. Скомпрометированная инфраструктура может помочь скрыть вредоносный трафик среди обычного, например среди коммуникаций с доверенными ресурсами или сайтами с высокой репутацией. Например, скомпрометированная инфраструктура (в том числе в сочетании с цифровыми сертификатами) дает злоумышленникам возможность более скрытно хранить собираемую информацию и (или) проводить фишинговые кампании. Кроме того, злоумышленники могут скомпрометировать инфраструктуру с целью организации прокси-сервера и (или) поддержки работы proxyware-сервисов.

Используя скомпрометированную инфраструктуру, злоумышленники могут затруднить отслеживание своих действий. При подготовке к атаке злоумышленники могут скомпрометировать инфраструктуру других злоумышленников и воспользоваться ей.

Способы обнаружения

ID	DS0035	Источник и компонент данных	Скан интернета: Содержимое ответа	Описание	Если злоумышленники подготовили программное обеспечение на скомпрометированном сервере для своих нужд (например, для организации командного сервера), интернет-сканирование может выявить серверы, скомпрометированные злоумышленниками. По возможности выявляйте идентифицируемые шаблоны, в частности, признаки прослушивания служб, используемые сертификаты, особенности взаимодействия по SSL/TLS и другие артефакты ответов, связанные с программным обеспечением командного сервера злоумышленника.

ID	DS0038	Источник и компонент данных	Доменное имя: Регистрация домена	Описание	По возможности отслеживайте необычные изменения, внесенные в информацию о лице, зарегистрировавшем домен, и (или) в информацию о разрешении адресов домена — это может свидетельствовать о компрометации домена. Усилия лучше сосредоточить на конкретных доменах, представляющих интерес, так как легитимные изменения регистрационных данных и информации о разрешениях — обычное явление в интернете.

ID	DS0038	Источник и компонент данных	Доменное имя: Активные данные DNS	Описание	Отслеживайте запрашиваемые данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

ID	DS0038	Источник и компонент данных	Доменное имя: Пассивные данные DNS	Описание	Отслеживайте зарегистрированные данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

ID	DS0035	Источник и компонент данных	Скан интернета: Метаданные ответа	Описание	В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

ID	Источник и компонент данных	Описание
DS0035	Скан интернета: Содержимое ответа	Если злоумышленники подготовили программное обеспечение на скомпрометированном сервере для своих нужд (например, для организации командного сервера), интернет-сканирование может выявить серверы, скомпрометированные злоумышленниками. По возможности выявляйте идентифицируемые шаблоны, в частности, признаки прослушивания служб, используемые сертификаты, особенности взаимодействия по SSL/TLS и другие артефакты ответов, связанные с программным обеспечением командного сервера злоумышленника.
DS0038	Доменное имя: Регистрация домена	По возможности отслеживайте необычные изменения, внесенные в информацию о лице, зарегистрировавшем домен, и (или) в информацию о разрешении адресов домена — это может свидетельствовать о компрометации домена. Усилия лучше сосредоточить на конкретных доменах, представляющих интерес, так как легитимные изменения регистрационных данных и информации о разрешениях — обычное явление в интернете.
DS0038	Доменное имя: Активные данные DNS	Отслеживайте запрашиваемые данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления.
DS0038	Доменное имя: Пассивные данные DNS	Отслеживайте зарегистрированные данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления.
DS0035	Скан интернета: Метаданные ответа	В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на сопутствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.