T1588: Подготовка необходимых средств
Злоумышленники могут купить и (или) украсть средства для проведения атак. Вместо разработки своих программных средств и информационных баз злоумышленники могут купить, скачать из общедоступных источников или украсть готовые решения — вредоносное ПО, легитимное ПО (включая лицензии), эксплойты, сертификаты и информацию об уязвимостях. Злоумышленники могут подготавливать средства для поддержки операций на разных этапах их проведения.
Злоумышленники могут не только загружать из интернета бесплатное вредоносное ПО, легитимное ПО и эксплойты, но и приобретать платные решения у третьих лиц. Это могут быть технологические компании, специализирующиеся на разработке вредоносного ПО и эксплойтов, криминальные рынки или частные лица.
Злоумышленники могут не только покупать средства для проведения операций, но и похищать их у третьих лиц, в том числе у других злоумышленников, — например, красть лицензии для легитимного ПО, вредоносное ПО, сертификаты SSL/TLS и подписи кода, а также несанкционированно извлекать информацию из закрытых баз данных уязвимостей или эксплойтов.
Способы обнаружения
ID | DS0037 | Источник и компонент данных | Сертификат: Регистрация сертификата | Описание | По возможности применяйте службы, которые могут помочь в отслеживании недавно созданных сертификатов и (или) сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. В некоторых серверных компонентах инструментария злоумышленников могут быть установлены значения по умолчанию для сертификатов SSL/TLS. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на действиях по предотвращению обнаружения или организации управления. |
---|
ID | DS0004 | Источник и компонент данных | Репозиторий вредоносного ПО: Метаданные вредоносного ПО | Описание | По возможности анализируйте сертификаты, используемые для подписывания кода, на наличие в них особенностей, которые могут быть связаны со злоумышленником и (или) разработчиками, таких как, отпечаток сертфиката, используемый алгоритм, срок действия, общее имя и центр сертификации. Кроме того, можно использовать репозитории вредоносного ПО для выявления дополнительных образцов, связанных со злоумышленником, и поиска шаблонов, которые он использовал при подготовке сертификатов для подписывания кода. В данном случае деятельность злоумышленников будет преимущественно проводиться за пределами видимости организации, что усложняет обнаружение. Внимание можно сосредоточить на последующих действиях, таких как подпись исполняемого кода или установка корневого сертификата. |
---|
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Отслеживайте регистрируемые данные сетевого трафика в ответ на сканирование с указанием содержимого заголовка протокола и тела сообщения, которые могут указывать на покупку и (или) кражу SSL/TLS сертификатов для проведения атак. Внимание можно сосредоточить на сопутствующих действиях, таких как использование веб-протоколов, асимметричного шифрования и (или) установка корневого сертификата. |
---|
ID | DS0004 | Источник и компонент данных | Репозиторий вредоносного ПО: Содержимое вредоносного ПО | Описание | По возможности анализируйте вредоносное ПО на наличие в нем особенностей, которые могут быть связаны с его поставщиками, — например, используемый компилятор, отладочные артефакты, сходства в коде или даже групповые идентификаторы, связанные с конкретными предложениями MaaS (malware as a service). Кроме того, можно использовать репозитории вредоносного ПО для обнаружения дополнительных образцов, связанных с этими разработчиками и злоумышленниками, которые пользуются их услугами. Совпадения в способах использования вредоносных программ различными злоумышленниками могут указывать на то, что эти программы были куплены злоумышленниками, а не разработаны ими самостоятельно. В некоторых случаях наличие совпадающих характеристик у вредоносных программ, используемых разными злоумышленниками, может указывать на общего куратора. Кроме того, можно использовать репозитории вредоносного ПО для выявления особенностей использования инструментов, связанных со злоумышленником, например "водяных знаков" в полезных нагрузках Cobalt Strike. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|