T1584.003: Виртуальный выделенный сервер
Злоумышленники могут скомпрометировать сторонние виртуальные частные серверы (VPS), чтобы использовать их для атак. Существует множество поставщиков облачных сервисов, предлагающих виртуальные машины и контейнеры. Злоумышленники могут скомпрометировать VPS, приобретенные сторонними организациями. Скомпрометировав VPS и эксплуатируя их в качестве своей инфраструктуры, злоумышленники могут помешать атрибуции своих вредоносных действий по используемым ресурсам.
Применение скомпрометированных VPS на поздних этапах атак, таких как взаимодействие с командными серверами, обеспечивает злоумышленникам прикрытие за счет хорошей репутации и распространенности известных поставщиков облачных сервисов и владельцев скомпрометированных серверов.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники подготовили программное обеспечение на скомпрометированном VPS-сервере для своих нужд (например, для организации командного сервера), интернет-сканирование может выявить его. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS. |
---|
ID | DS0035 | Источник и компонент данных | Скан интернета: Метаданные ответа | Описание | Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|