T1592.004: Конфигурация клиентов
Злоумышленники могут собирать информацию о конфигурации клиентов атакуемых инфраструктур, чтобы использовать ее для атак. Информация о конфигурации клиентов может включать сведения об операционной системе, версии, виртуализации, архитектуре (например, 32- или 64-разрядная), языке и (или) часовом поясе.
Злоумышленники могут собирать эту информацию различными способами, в том числе напрямую путем активного сканирования (такие данные, как порты для входящих соединений, баннеры серверов, строки User-Agent) или фишинга с целью сбора сведений. Также злоумышленники могут скомпрометировать сайты и добавить вредоносное содержимое, чтобы собирать у посетителей информацию о хостах. Информация о конфигурации клиентов также может быть найдена в интернете или других открытых источниках (например, в объявлениях о вакансиях, картах сети, отчетах об оценке, резюме или счетах-фактурах). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем компрометации цепочки поставок или эксплуатации внешних служб удаленного доступа).
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Для поиска шаблонов вредоносного содержимого, предназначенного для сбора информации о конфигурации клиентских устройств, с которых заходят посетители, можно использовать интернет-сканеры. Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что усложняет их обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам. |
---|