T1588.003: Сертификаты подписи кода
Злоумышленники могут купить и (или) украсть сертификаты подписи кода, чтобы использовать их для атак. Подпись кода — это процесс цифрового подписывания исполняемых файлов и сценариев с целью подтвердить их авторство и гарантировать, что код не был изменен или поврежден. Подписывание кода разработчиком является одним из уровней подтверждения подлинности программы и гарантирует, что программа не подвергалась изменениям. Пользователи и (или) средства безопасности могут доверять подписанному коду больше, чем неподписанному, даже если не знают, кем выдан сертификат или кто его автор.
Перед подписью исполняемого кода злоумышленники могут приобрести или украсть сертификаты подписи кода. Злоумышленники могут приобретать сертификаты подписи кода, используя подставные организации или ранее украденные данные скомпрометированных организаций, чтобы зарегистрироваться у поставщика сертификатов от имени этих организаций. Злоумышленники могут также украсть материалы для подписи кода непосредственно у скомпрометированных третьих лиц.
Способы обнаружения
ID | DS0004 | Источник и компонент данных | Репозиторий вредоносного ПО: Метаданные вредоносного ПО | Описание | По возможности анализируйте сертификаты, используемые для подписывания кода, на наличие в них особенностей, которые могут быть связаны со злоумышленником и (или) разработчиками, таких как отпечаток сертификата, используемый алгоритм, срок действия, общее имя и центр сертификации. Кроме того, можно использовать репозитории вредоносного ПО для выявления дополнительных образцов, связанных со злоумышленником, и поиска шаблонов, которые он использовал при подготовке сертификатов для подписывания кода. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на последующих действиях, таких как подпись исполняемого кода или установка корневого сертификата. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|