T1587.003: Цифровые сертификаты
Злоумышленники могут создавать самоподписанные сертификаты SSL/TLS, чтобы использовать их для атак. Сертификаты SSL/TLS призваны формировать доверие к источнику. Они содержат информацию о ключе, данные о владельце и цифровую подпись органа, подтвердившего подлинность содержимого сертификата. Если подпись действительна и проверяющий доверяет подписавшему, он может использовать ключ сертификата для безопасной связи с его владельцем. При самоподписании цифровые сертификаты не имеют гарантий надежности, которые предоставляет сторонний центр сертификации (CA).
Злоумышленники могут создавать самоподписанные сертификаты SSL/TLS, чтобы использовать их для шифрования трафика между командным сервером и другими системами (например, асимметричного шифрования веб-протоколов) или даже для атак типа "злоумышленник посередине", если сертификат добавляется в корень доверия (то есть устанавливается как корневой).
После создания цифрового сертификата злоумышленник может установить его в подконтрольной ему инфраструктуре (см. технику Установка цифрового сертификата).
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | По возможности применяйте службы, которые могут помочь в отслеживании сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. Усилия по обнаружению имеет смысл сосредоточить на сопутствующих действиях, таких как использование веб-протоколов, асимметричного шифрования и (или) установка корневого сертификата. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|