T1588.001: Вредоносное ПО

Злоумышленники могут купить, украсть или скачать вредоносное ПО, чтобы использовать его для атак. Вредоносное ПО включает в себя полезные нагрузки, дропперы, инструменты посткомпрометации, бэкдоры, упаковщики и средства связи с командными серверами. Злоумышленники могут подготовить вредоносное ПО для поддержки своих операций, включая средства для контроля над удаленными компьютерами, обхода защиты и выполнения действий после компрометации.

Злоумышленники могут не только загружать бесплатное вредоносное ПО из интернета, но и приобретать платные решения, включая решения типа MaaS (malware as a service), у третьих лиц. Это могут быть технологические компании, специализирующиеся на разработке вредоносного ПО, криминальные рынки или частные лица. Злоумышленники могут не только покупать вредоносное ПО, но и красть его у третьих лиц, в том числе у других злоумышленников, и переделывать под свои нужды.

Способы обнаружения

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Метаданные вредоносного ПООписание

Отслеживайте контекстные данные полезной нагрузки, такие как время компиляции, хеши файлов, а также "водяные знаки" или другую идентифицируемую информацию о конфигурации. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на этапах деятельности злоумышленников после компрометации.

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Содержимое вредоносного ПООписание

По возможности анализируйте вредоносное ПО на наличие в нем особенностей, которые могут быть связаны с его поставщиками, — например, используемый компилятор, отладочные артефакты, сходства в коде или даже групповые идентификаторы, связанные с конкретными предложениями MaaS (malware as a service). Кроме того, можно использовать репозитории вредоносного ПО для обнаружения дополнительных образцов, связанных с этими разработчиками и злоумышленниками, которые пользуются их услугами. Совпадения в способах использования вредоносных программ различными злоумышленниками могут указывать на то, что эти программы были куплены злоумышленниками, а не разработаны ими самостоятельно. В некоторых случаях наличие совпадающих характеристик у вредоносных программ, используемых разными злоумышленниками, может указывать на общего куратора.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.