T1586: Компрометация учетных записей
Злоумышленники могут скомпрометировать учетные записи в различных сервисах, чтобы использовать их для атак. Использование онлайн-личностей может быть важной составляющей операций с использованием социальной инженерии. Вместо создания и проработки своих учетных записей (см. технику Создание учетных записей), злоумышленники могут скомпрометировать уже существующие учетные записи. Взаимодействие с потенциальной жертвой через учетную запись существующей личности может помочь сразу установить доверие, если у жертвы есть связи со скомпрометированной личностью или знания о ней.
Существует множество методов компрометации учетных записей, таких как получение учетных данных с помощью техники Фишинг с целью сбора сведений, покупка учетных данных на сторонних сайтах, подбор паролей (например, применение паролей из дампов похищенных учетных данных) или покупка доступа к учетным данным у сотрудников, поставщиков или деловых партнеров. Перед взломом злоумышленники могут провести разведку, чтобы определить, какие учетные записи лучше скомпрометировать для дальнейших операций.
Онлайн-личность может существовать на одном или нескольких сайтах (например, Facebook, LinkedIn, Twitter, Google и других). Скомпрометированные учетные записи могут требовать дополнительной проработки, включая заполнение или изменение профиля, развитие социальных связей и размещение фотографий.
Злоумышленники могут использовать учетные записи электронной почты для фишинга с целью сбора сведений или обычного фишинга.
Какие продукты Positive Technologies покрывают технику
Техника покрывается MaxPatrol HCC — модулем MaxPatrol VM для комплаенс-контроля и харденинга инфраструктуры.
Способы обнаружения
| ID | DS0021 | Источник и компонент данных | Фиктивная личность: Социальные сети | Описание | По возможности отслеживайте активность, связанную с вашей организацией, в социальных сетях. Подозрительная активность может заключаться в появлении людей, утверждающих, что они работают в вашей организации, или в изменении существующих учетных записей, отправляющих множество запросов на подключение к учетным записям, связанным с вашей организацией. В данном случае внимание можно сосредоточить на соответствующих этапах деятельности злоумышленников — например, на этапе первоначального доступа (см. технику Целевой фишинг через сторонние сервисы). |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, использующих проверку SSL/TLS для зашифрованного трафика, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
|---|