Техника на mitre.org

T1592.002: Программное обеспечение

Злоумышленники могут собирать информацию о программном обеспечении атакуемых узлов, чтобы использовать ее для атак. Информация об установленном программном обеспечении может включать данные о типах и версиях оборудования на конкретных хостах, а также о наличии дополнительных защитных компонентов, таких как антивирус или SIEM-системы.

Злоумышленники могут собирать эту информацию различными способами, в том числе напрямую путем активного сканирования (такие данные, как порты для входящих соединений, баннеры серверов, строки User-Agent) или фишинга с целью сбора сведений. Также злоумышленники могут скомпрометировать сайты и добавить вредоносное содержимое, чтобы собирать у посетителей информацию о хостах. Информация об установленном программном обеспечении также может быть найдена в интернете или других открытых источниках (например, в объявлениях о вакансиях, картах сети, отчетах об оценке, резюме или счетах-фактурах). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем компрометации цепочки поставок или эксплуатации внешних служб удаленного доступа).

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен обнаруживать использование утилиты Nmap, сканера ZGrab и других популярных инструментов активного сканирования сервисов — с помощью правил обнаружения и модуля, выявляющего аномалии при сетевом сканировании. Данные инструменты позволяют собрать разнообразную информацию о ПО и ОС, которые установлены на сетевых узлах.

Примеры правил обнаружения PT NAD

SCAN [PTsecurity] Nmap HTTP Probe (sid 10001987)
SCAN [PTsecurity] zgrab Banner Grabber User-Agent Detected (sid 10003538)
[ANOMALY] [PTsecurity] TCP SYN scan (sid 13000014)

Способы обнаружения

ID	DS0035	Источник и компонент данных	Скан интернета: Содержимое ответа	Описание	Для поиска шаблонов вредоносного содержимого, предназначенного для сбора информации об аппаратном обеспечении узлов, с которых заходят посетители, можно использовать интернет-сканеры. Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что усложняет их обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа.

ID	Источник и компонент данных	Описание
DS0035	Скан интернета: Содержимое ответа	Для поиска шаблонов вредоносного содержимого, предназначенного для сбора информации об аппаратном обеспечении узлов, с которых заходят посетители, можно использовать интернет-сканеры. Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что усложняет их обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.