T1584.008: Сетевые устройства
Злоумышленники могут скомпрометировать сторонние сетевые устройства, чтобы использовать их для атак. Сетевые устройства, такие как маршрутизаторы для малых и домашних офисов (SOHO), могут быть скомпрометированы не с целью получения первоначального доступа к среде, где они установлены, а для проведения атак на другие цели.
После компрометации сетевых устройств злоумышленник может использовать их для ведения дополнительных операций, например для размещения полезных нагрузок фишинговых кампаний (см. технику Целевая ссылка) или получения доступа с целью внедрения контента. Также злоумышленники могут попытаться собрать многократно используемые учетные данные (техника Существующие учетные записи) через скомпрометированные сетевые устройства.
Злоумышленники часто атакуют периферийные устройства с выходом в интернет и связанные с ними сетевые устройства, не оснащенные надежной защитой на уровне хоста.
Скомпрометированные сетевые устройства могут помочь в организации связи с командным сервером, например в сокрытии инфраструктуры с помощью прокси-сервера и (или) ботнета.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники используют скомпрометированные сетевые устройства в качестве своей инфраструктуры (например, для организации управления), можно искать уникальные известные характеристики, связанные с программным обеспечением злоумышленников. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|