T1584.006: Веб-сервисы

Злоумышленники могут скомпрометировать доступ к сторонним веб-сервисам, чтобы использовать их для атак. Многие популярные веб-сайты, такие как GitHub, Twitter, Dropbox, Google и SendGrid, позволяют легитимным пользователям регистрироваться в своих сервисах. Злоумышленники могут попытаться захватить доступ легитимного пользователя к веб-сервису и использовать его для своих операций. Такие веб-сервисы могут применяться на поздних этапах атак, например для взаимодействия с командным сервером (техника Веб-служба), эксфильтрации через веб-службу или фишинга. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Использование веб-сервисов, особенно в случае кражи доступа легитимного пользователя, может мешать физически проследить вредоносные действия до конкретных злоумышленников. Кроме того, применение скомпрометированных веб-сервисов электронной почты позволяет злоумышленникам пользоваться доверием жертв к легитимным доменам.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Если злоумышленники эксплуатируют веб-службу в качестве своей инфраструктуры (например, для организации управления), можно искать уникальные известные характеристики, связанные с программным обеспечением злоумышленников. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления через веб-службу или эксфильтрации через веб-службу.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.