T1585: Создание учетных записей
Злоумышленники могут создавать и поддерживать учетные записи различных сервисов, чтобы использовать их для атак. Злоумышленники могут создавать учетные записи фиктивных личностей для использования в дальнейших операциях. Проработка фиктивной личности включает добавление общедоступной информации, имитацию активности в социальных сетях, создание истории и установление связей. Эти усилия могут быть сосредоточены на ведении учетных записей в социальных сетях, наполнении веб-сайтов или создании другой общедоступной информации, на которую можно ссылаться и легитимность которой может проверяться в ходе использования злоумышленником этой учетной записи или личности.
Использование онлайн-личностей может быть важной составляющей операций с использованием социальной инженерии. Фиктивная личность может быть вымышленной или имитировать реально существующего человека. Созданная онлайн-личность может существовать на одном или нескольких сайтах (например, Facebook, LinkedIn, Twitter, Google, GitHub, Docker Hub и других). Создание фиктивной личности может потребовать дополнительных усилий по созданию документальных подтверждений ее существования и активности, включая заполнение профиля, развитие социальных связей и размещение фотографий.
Создание учетных записей может также включать регистрацию в почтовых службах, чтобы использовать почту для фишинга с целью сбора сведений или обычного фишинга. Кроме того, создание учетных записей позволяет злоумышленникам злоупотреблять бесплатными услугами, например пробными периодами, с целью приобретения инфраструктуры для вредоносных операций.
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
|---|
| ID | DS0021 | Источник и компонент данных | Фиктивная личность: Социальные сети | Описание | По возможности отслеживайте активность, связанную с вашей организацией, в социальных сетях. Подозрительная активность может заключаться в появлении людей, утверждающих, что они работают в вашей организации, или в создании новых и изменении существующих учетных записей, отправляющих множество запросов на подключение к учетным записям, связанным с вашей организацией. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Имеет смысл сосредоточить усилия по выявлению вредоносных действий на соответствующих этапах деятельности злоумышленников — например, на этапе первоначального доступа это может быть применение техники Фишинг). |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
|---|