T1588.002: Инструменты

Злоумышленники могут купить, украсть или скачать программные инструменты, чтобы использовать их для атак. Инструменты могут быть с открытым или закрытым исходным кодом, бесплатными или коммерческими. Также в злонамеренных целях могут использоваться инструменты, которые, в отличие от вредоносного ПО, изначально не были для этого предназначены (например, PsExec). Приобретение инструментов может подразумевать покупку лицензий на коммерческое ПО, включая инструменты для пентестинга, такие как Cobalt Strike. Злоумышленники могут получать коммерческое программное обеспечение путем покупки, кражи лицензий (или лицензионных копий ПО) либо взлома пробных версий.

Злоумышленники могут подготовить вспомогательные инструменты для своих операций, в том числе для выполнения действий после компрометации. Злоумышленники могут не только бесплатно скачивать или покупать программное обеспечение, но и красть его или лицензии на него у третьих лиц, включая других злоумышленников.

Способы обнаружения

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Метаданные вредоносного ПООписание

Отслеживайте контекстные данные полезной нагрузки, такие как время компиляции, хеши файлов, а также "водяные знаки" или другую идентифицируемую информацию о конфигурации. В некоторых случаях можно также использовать репозитории вредоносного ПО для выявления особенностей использования инструментов, связанных со злоумышленником, например "водяных знаков" в полезных нагрузках Cobalt Strike. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на этапах деятельности злоумышленников после компрометации.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.