T1587: Разработка собственных средств

Злоумышленники могут создавать собственные программные средства, чтобы использовать их для атак. Вместо покупки, загрузки из общедоступных источников или кражи программных средств злоумышленники могут разрабатывать их самостоятельно. Этот процесс включает определение требований и создание решений, таких как вредоносное ПО, эксплойты и самоподписанные сертификаты. Злоумышленники могут разработать собственные программные средства для поддержки своих операций на разных этапах.

Создание программных средств, как и легитимного ПО, требует от авторов наличия различных навыков. Злоумышленники могут уже обладать необходимыми навыками или пользоваться услугами специалистов. Программные средства, создаваемые при участии внешних подрядчиков, могут считаться инструментарием определенной группы злоумышленников, если она участвует в формировании требований и сохраняет часть эксклюзивных прав на это ПО.

Способы обнаружения

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Метаданные вредоносного ПООписание

По возможности анализируйте самоподписанные сертификаты, используемые для подписывания кода, на наличие в них особенностей, которые могут быть связаны со злоумышленником и (или) разработчиками, таких как, отпечаток сертфиката, используемый алгоритм, срок действия и общее имя. Кроме того, можно использовать репозитории вредоносного ПО для выявления дополнительных образцов, связанных со злоумышленником, и поиска шаблонов, которые он использовал при создании самоподписанных сертификатов для подписывания кода. В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на последующих действиях, таких как подпись исполняемого кода или установка корневого сертификата.

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

По возможности применяйте службы, которые могут помочь в отслеживании сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. Внимание можно сосредоточить на сопутствующих действиях, таких как использование веб-протоколов, асимметричного шифрования и (или) установка корневого сертификата.

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Содержимое вредоносного ПООписание

По возможности анализируйте вредоносное ПО на наличие в нем признаков, которые могут быть связаны со злоумышленниками и (или) его разработчиками, например, используемый компилятор, отладочные артефакты или сходства в коде. Кроме того, можно использовать репозитории вредоносного ПО для обнаружения дополнительных образцов, связанных со злоумышленником, а также выявления повторяющихся с течением времени фрагментов кода.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.