T1584.004: Сервер

Злоумышленники могут скомпрометировать сторонние серверы, чтобы использовать их для атак. С помощью серверов злоумышленники могут организовывать, запускать и проводить вредоносные операции. После компрометации злоумышленники могут использовать сервер для различных задач, в том числе в качестве командного сервера. Вместо приобретения сервера или виртуального выделенного сервера злоумышленники могут скомпрометировать сторонние серверы для проведения вредоносных операций.

Злоумышленники также могут скомпрометировать веб-серверы для поддержки атак типа watering hole, например в случае теневой (drive-by) компрометации, или почтовые серверы для проведения фишинговых кампаний.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Если злоумышленники подготовили программное обеспечение на скомпрометированном сервере для своих нужд (например, для организации командного сервера), интернет-сканирование может выявить серверы, скомпрометированные злоумышленниками. По возможности выявляйте артефакты коммуникации, связанные с программным обеспечением командного сервера злоумышленников, такие как ожидающие передачи данных службы, используемые сертификаты и особенности взаимодействия по SSL/TLS.

IDDS0035Источник и компонент данныхСкан интернета: Метаданные ответаОписание

Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.