Матрица MITRE ATT&CK

Техника на mitre.org

T1584.002: DNS-сервер

Злоумышленники могут скомпрометировать сторонние DNS-серверы, чтобы использовать их для атак. После компрометации злоумышленники могут использовать DNS-трафик для различных задач, в том числе для организации связи с командным сервером (см. технику Протокол прикладного уровня). Для поддержки вредоносных операций злоумышленники могут скомпрометировать сторонние DNS-серверы вместо настройки собственных.

Компрометация DNS-серверов дает возможность изменять записи DNS. В этом случае злоумышленники смогут перенаправлять трафик организаций, что упрощает задачи сбора данных и доступа к учетным данным. Кроме того, злоумышленники могут использовать контроль над DNS-сервером в сочетании с техникой Цифровые сертификаты, чтобы перенаправлять трафик в свою инфраструктуру, имитируя обычную доверенную сетевую связь. Злоумышленники также могут незаметно создавать поддомены, указывающие на вредоносные серверы, без ведома реального владельца DNS-сервера.

Способы обнаружения

ID	DS0038	Источник и компонент данных	Доменное имя: Активные данные DNS	Описание	Отслеживайте запрашиваемые данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

ID	DS0038	Источник и компонент данных	Доменное имя: Пассивные данные DNS	Описание	Отслеживайте зарегистрированные данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

ID	Источник и компонент данных	Описание
DS0038	Доменное имя: Активные данные DNS	Отслеживайте запрашиваемые данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.
DS0038	Доменное имя: Пассивные данные DNS	Отслеживайте зарегистрированные данные реестра доменных имен (DNS), которые могут использоваться для компрометации сторонних DNS-серверов с целью использовать их для атак. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.