Матрица MITRE ATT&CK

Техника на mitre.org

T1588.004: Цифровые сертификаты

Злоумышленники могут купить и (или) украсть сертификаты SSL/TLS, чтобы использовать их для атак. Сертификаты SSL/TLS призваны формировать доверие к источнику. Они содержат информацию о ключе, данные о владельце и цифровую подпись органа, подтвердившего подлинность содержимого сертификата. Если подпись действительна и проверяющий доверяет подписавшему, он может использовать ключ сертификата для безопасной связи с его владельцем.

Злоумышленники могут приобрести или украсть сертификаты SSL/TLS, чтобы использовать их для шифрования трафика между командным сервером и другими системами (например, асимметричного шифрования веб-протоколов) или даже для атак типа "злоумышленник посередине", если сертификат считается доверенным или иным образом добавлен в корень доверия (то есть установлен как корневой). Злоумышленники могут приобретать цифровые сертификаты, используя подставные организации или ранее украденные данные скомпрометированных организаций, чтобы зарегистрироваться у поставщика сертификатов от имени этих организаций. Злоумышленники могут также украсть файлы сертификатов непосредственно у скомпрометированных третьих лиц, включая центры сертификации. Также злоумышленники могут зарегистрировать или захватить домены, а затем приобрести сертификаты SSL/TLS для них.

Некоторые центры сертификации предоставляют бесплатные сертификаты SSL/TLS, включая сертификаты с проверкой домена.

После получения цифрового сертификата злоумышленник может установить его на подконтрольную ему инфраструктуру (см. технику Установка цифрового сертификата).

Способы обнаружения

ID	DS0035	Источник и компонент данных	Скан интернета: Содержимое ответа	Описание	Отслеживайте регистрируемые данные сетевого трафика в ответ на сканирование с указанием содержимого заголовка протокола и тела сообщения, которые могут указывать на покупку и (или) кражу SSL/TLS сертификатов для проведения атак. Усилия по обнаружению имеет смысл сосредоточить на сопутствующих действиях, таких как использование веб-протоколов, асимметричного шифрования и (или) установка корневого сертификата.

ID	DS0037	Источник и компонент данных	Сертификат: Регистрация сертификата	Описание	По возможности применяйте службы, которые могут помочь в отслеживании недавно созданных сертификатов и (или) сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. В некоторых серверных компонентах инструментария злоумышленников могут быть установлены значения по умолчанию для сертификатов SSL/TLS.

ID	Источник и компонент данных	Описание
DS0035	Скан интернета: Содержимое ответа	Отслеживайте регистрируемые данные сетевого трафика в ответ на сканирование с указанием содержимого заголовка протокола и тела сообщения, которые могут указывать на покупку и (или) кражу SSL/TLS сертификатов для проведения атак. Усилия по обнаружению имеет смысл сосредоточить на сопутствующих действиях, таких как использование веб-протоколов, асимметричного шифрования и (или) установка корневого сертификата.
DS0037	Сертификат: Регистрация сертификата	По возможности применяйте службы, которые могут помочь в отслеживании недавно созданных сертификатов и (или) сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. В некоторых серверных компонентах инструментария злоумышленников могут быть установлены значения по умолчанию для сертификатов SSL/TLS.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.