T1592.001: Аппаратное обеспечение

Злоумышленники могут собирать информацию об аппаратном обеспечении атакуемых узлов, чтобы использовать ее для атак. Информация об аппаратной инфраструктуре может включать данные о типах и версиях оборудования на конкретных хостах, а также о наличии дополнительных защитных компонентов, таких как считыватели карт, биометрические устройства или специальное оборудование для шифрования.

Злоумышленники могут собирать эту информацию различными способами, в том числе напрямую путем активного сканирования (такие данные, как имена хостов, баннеры серверов, строки User-Agent) или фишинга с целью сбора сведений. Также злоумышленники могут скомпрометировать сайты и добавить вредоносное содержимое, чтобы собирать у посетителей информацию о хостах. Информация об аппаратной инфраструктуре жертвы также может быть найдена в интернете или других открытых источниках (например, в объявлениях о вакансиях, картах сети, отчетах об оценке, резюме или счетах-фактурах). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем компрометации цепочки поставок комплектующих или подключения дополнительных устройств).

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Internet scanners may be used to look for patterns associated with malicious content designed to collect host hardware information from visitors. Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.