T1592.001: Аппаратное обеспечение

Злоумышленники могут собирать информацию об аппаратном обеспечении атакуемых узлов, чтобы использовать ее для атак. Информация об аппаратной инфраструктуре может включать данные о типах и версиях оборудования на конкретных хостах, а также о наличии дополнительных защитных компонентов, таких как считыватели карт, биометрические устройства или специальное оборудование для шифрования.

Злоумышленники могут собирать эту информацию различными способами, в том числе напрямую путем активного сканирования (такие данные, как имена хостов, баннеры серверов, строки User-Agent) или фишинга с целью сбора сведений. Также злоумышленники могут скомпрометировать сайты и добавить вредоносное содержимое, чтобы собирать у посетителей информацию о хостах. Информация об аппаратной инфраструктуре жертвы также может быть найдена в интернете или других открытых источниках (например, в объявлениях о вакансиях, картах сети, отчетах об оценке, резюме или счетах-фактурах). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем компрометации цепочки поставок комплектующих или подключения дополнительных устройств).

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Для поиска шаблонов вредоносного содержимого, предназначенного для сбора информации об аппаратном обеспечении узлов, с которых заходят посетители, можно использовать интернет-сканеры. Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что затрудняет их обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.