T1588.001: Вредоносное ПО
Злоумышленники могут купить, украсть или скачать вредоносное ПО, чтобы использовать его для атак. Вредоносное ПО включает в себя полезные нагрузки, дропперы, инструменты посткомпрометации, бэкдоры, упаковщики и средства связи с командными серверами. Злоумышленники могут подготовить вредоносное ПО для поддержки своих операций, включая средства для контроля над удаленными компьютерами, обхода защиты и выполнения действий после компрометации.
Злоумышленники могут не только загружать бесплатное вредоносное ПО из интернета, но и приобретать платные решения, включая решения типа MaaS (malware as a service), у третьих лиц. Это могут быть технологические компании, специализирующиеся на разработке вредоносного ПО, криминальные рынки или частные лица. Злоумышленники могут не только покупать вредоносное ПО, но и красть его у третьих лиц, в том числе у других злоумышленников, и переделывать под свои нужды.
Способы обнаружения
| ID | DS0004 | Источник и компонент данных | Репозиторий вредоносного ПО: Содержимое вредоносного ПО | Описание | По возможности анализируйте вредоносное ПО на наличие в нем особенностей, которые могут быть связаны с его поставщиками, — например, используемый компилятор, отладочные артефакты, сходства в коде или даже групповые идентификаторы, связанные с конкретными предложениями MaaS (malware as a service). Кроме того, можно использовать репозитории вредоносного ПО для обнаружения дополнительных образцов, связанных с этими разработчиками и злоумышленниками, которые пользуются их услугами. Совпадения в способах использования вредоносных программ различными злоумышленниками могут указывать на то, что эти программы были куплены злоумышленниками, а не разработаны ими самостоятельно. В некоторых случаях наличие совпадающих характеристик у вредоносных программ, используемых разными злоумышленниками, может указывать на общего куратора. |
|---|
| ID | DS0004 | Источник и компонент данных | Репозиторий вредоносного ПО: Метаданные вредоносного ПО | Описание | Отслеживайте контекстные данные полезной нагрузки, такие как время компиляции, хеши файлов, а также "водяные знаки" или другую идентифицируемую информацию о конфигурации. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на этапах деятельности злоумышленников после компрометации. |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
|---|