T1584.006: Веб-сервисы
Злоумышленники могут скомпрометировать доступ к сторонним веб-сервисам, чтобы использовать их для атак. Многие популярные веб-сайты, такие как GitHub, Twitter, Dropbox, Google и SendGrid, позволяют легитимным пользователям регистрироваться в своих сервисах. Злоумышленники могут попытаться захватить доступ легитимного пользователя к веб-сервису и использовать его для своих операций. Такие веб-сервисы могут применяться на поздних этапах атак, например для взаимодействия с командным сервером (техника Веб-служба), эксфильтрации через веб-службу или фишинга. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Использование веб-сервисов, особенно в случае кражи доступа легитимного пользователя, может мешать физически проследить вредоносные действия до конкретных злоумышленников. Кроме того, применение скомпрометированных веб-сервисов электронной почты позволяет злоумышленникам пользоваться доверием жертв к легитимным доменам.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники эксплуатируют веб-службу в качестве своей инфраструктуры (например, для организации управления), можно искать уникальные известные характеристики, связанные с программным обеспечением злоумышленников. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по организации управления через веб-службу или эксфильтрации через веб-службу. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|