T1584.001: Домены
Злоумышленники могут перехватывать домены и (или) поддомены, чтобы использовать их для атак. Перехват регистрации домена — это изменение данных о доменном имени без разрешения первоначального владельца. Злоумышленники могут получить доступ к учетной записи электронной почты владельца домена, а затем заявить регистратору, что забыли пароль, чтобы изменить регистрационные сведения о домене. Злоумышленники также могут использовать социальную инженерию против специалистов службы поддержки, чтобы получить доступ к учетной записи домена, или воспользоваться периодами между продлениями.
Возможен также перехват поддомена, если в организациях есть DNS-записи, указывающие на несуществующие или отключенные ресурсы. В таких случаях злоумышленник может захватить поддомен и использовать доверие к основному домену в своих целях.
Злоумышленники, скомпрометировавшие домен, могут создать подконтрольные им (так называемые теневые) поддомены и сохранив при этом существующие записи DNS. Поскольку работа домена не нарушается, вредоносные поддомены могут долгое время оставаться незамеченными.
Способы обнаружения
| ID | DS0038 | Источник и компонент данных | Доменное имя: Пассивные данные DNS | Описание | Отслеживайте зарегистрированные данные реестра доменных имен (DNS), которые могут использоваться для перехвата доменов и (или) поддоменов с целью использовать их для атак. В некоторых случаях необычные IP-адреса поддоменов (например, находящиеся в стране, отличной от корневого домена) могут указывать на наличие вредоносного поддомена. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
|---|
| ID | DS0038 | Источник и компонент данных | Доменное имя: Регистрация домена | Описание | По возможности отслеживайте необычные изменения, внесенные в информацию о лице, зарегистрировавшем домен, и (или) в информацию о разрешении адресов домена — это может свидетельствовать о компрометации домена. Усилия лучше сосредоточить на конкретных доменах, представляющих интерес, так как легитимные изменения регистрационных данных и информации о разрешениях — обычное явление в интернете. |
|---|
| ID | DS0038 | Источник и компонент данных | Доменное имя: Активные данные DNS | Описание | Отслеживайте запрашиваемые данные реестра доменных имен (DNS), которые могут использоваться для перехвата доменов и (или) поддоменов с целью использовать их для атак. В некоторых случаях необычные IP-адреса поддоменов (например, находящиеся в стране, отличной от корневого домена) могут указывать на наличие вредоносного поддомена. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
|---|