T1587.003: Цифровые сертификаты

Злоумышленники могут создавать самоподписанные сертификаты SSL/TLS, чтобы использовать их для атак. Сертификаты SSL/TLS призваны формировать доверие к источнику. Они содержат информацию о ключе, данные о владельце и цифровую подпись органа, подтвердившего подлинность содержимого сертификата. Если подпись действительна и проверяющий доверяет подписавшему, он может использовать ключ сертификата для безопасной связи с его владельцем. При самоподписании цифровые сертификаты не имеют гарантий надежности, которые предоставляет сторонний центр сертификации (CA).

Злоумышленники могут создавать самоподписанные сертификаты SSL/TLS, чтобы использовать их для шифрования трафика между командным сервером и другими системами (например, асимметричного шифрования веб-протоколов) или даже для атак типа "злоумышленник посередине", если сертификат добавляется в корень доверия (то есть устанавливается как корневой).

После создания цифрового сертификата злоумышленник может установить его в подконтрольной ему инфраструктуре (см. технику Установка цифрового сертификата).

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

По возможности применяйте службы, которые могут помочь в отслеживании сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. Усилия по обнаружению имеет смысл сосредоточить на сопутствующих действиях, таких как использование веб-протоколов, асимметричного шифрования и (или) установка корневого сертификата.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.