T1584.003: Виртуальный выделенный сервер

Злоумышленники могут скомпрометировать сторонние виртуальные частные серверы (VPS), чтобы использовать их для атак. Существует множество поставщиков облачных сервисов, предлагающих виртуальные машины и контейнеры. Злоумышленники могут скомпрометировать VPS, приобретенные сторонними организациями. Скомпрометировав VPS и эксплуатируя их в качестве своей инфраструктуры, злоумышленники могут помешать атрибуции своих вредоносных действий по используемым ресурсам.

Применение скомпрометированных VPS на поздних этапах атак, таких как взаимодействие с командными серверами, обеспечивает злоумышленникам прикрытие за счет хорошей репутации и распространенности известных поставщиков облачных сервисов и владельцев скомпрометированных серверов.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Если злоумышленники подготовили программное обеспечение на скомпрометированном VPS-сервере для своих нужд (например, для организации командного сервера), интернет-сканирование может выявить его. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS.

IDDS0035Источник и компонент данныхСкан интернета: Метаданные ответаОписание

Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.