T1584.004: Сервер
Злоумышленники могут скомпрометировать сторонние серверы, чтобы использовать их для атак. С помощью серверов злоумышленники могут организовывать, запускать и проводить вредоносные операции. После компрометации злоумышленники могут использовать сервер для различных задач, в том числе в качестве командного сервера. Вместо приобретения сервера или виртуального выделенного сервера злоумышленники могут скомпрометировать сторонние серверы для проведения вредоносных операций.
Злоумышленники также могут скомпрометировать веб-серверы для поддержки атак типа watering hole, например в случае теневой (drive-by) компрометации, или почтовые серверы для проведения фишинговых кампаний.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники подготовили программное обеспечение на скомпрометированном сервере для своих нужд (например, для организации командного сервера), интернет-сканирование может выявить серверы, скомпрометированные злоумышленниками. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS. |
---|
ID | DS0035 | Источник и компонент данных | Скан интернета: Метаданные ответа | Описание | Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|