T1586.001: Учетные записи соцсетей

Злоумышленники могут скомпрометировать учетные записи в социальных сетях, чтобы использовать их для атак. Использование онлайн-личностей может быть важной составляющей операций с использованием социальной инженерии. Вместо создания и проработки новых профилей в социальных сетях (см. технику Учетные записи соцсетей), злоумышленники могут скомпрометировать уже существующие учетные записи. Взаимодействие с потенциальной жертвой через учетную запись существующей личности может помочь сразу установить доверие, если у жертвы есть связи со скомпрометированной личностью или знания о ней.

Существует множество методов компрометации учетных записей в социальных сетях, таких как получение учетных данных с помощью техники Фишинг с целью сбора сведений, покупка учетных данных на сторонних сайтах или подбор паролей (например, применение паролей из дампов похищенных учетных данных). Перед взломом учетных записей в социальных сетях злоумышленники могут провести разведку, чтобы определить, какие учетные записи лучше скомпрометировать для дальнейших операций.

Онлайн-личность может существовать на одном или нескольких сайтах (например, Facebook, LinkedIn, Twitter и других). Скомпрометированные учетные записи в социальных сетях могут требовать дополнительной проработки, включая заполнение или изменение профиля, развитие социальных связей и размещение фотографий.

Скомпрометированный профиль в социальной сети позволяет злоумышленникам налаживать новые или перехватывать существующие связи с интересующими их целями. Эти связи могут быть прямыми или осуществляться через других лиц. Скомпрометированные профили могут задействоваться на различных этапах вредоносной активности, в том числе при организации первоначального доступа (см., например, технику Целевой фишинг через сторонние сервисы).

Способы обнаружения

IDDS0021Источник и компонент данныхФиктивная личность: Социальные сетиОписание

По возможности отслеживайте активность, связанную с вашей организацией, в социальных сетях. Подозрительная активность может заключаться в появлении личностей, утверждающих, что они работают в вашей организации, или в отправке недавно измененными учетными записями множества запросов на добавление в друзья учетным записям, связанным с вашей организацией. Имеет смысл сосредоточить усилия по выявлению вредоносных действий на соответствующих этапах деятельности злоумышленников — например, на этапе первоначального доступа это может быть применение техники Целевой фишинг через сторонние сервисы.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.