T1592.004: Конфигурация клиентов

Злоумышленники могут собирать информацию о конфигурации клиентов атакуемых инфраструктур, чтобы использовать ее для атак. Информация о конфигурации клиентов может включать сведения об операционной системе, версии, виртуализации, архитектуре (например, 32- или 64-разрядная), языке и (или) часовом поясе.

Злоумышленники могут собирать эту информацию различными способами, в том числе напрямую путем активного сканирования (такие данные, как порты для входящих соединений, баннеры серверов, строки User-Agent) или фишинга с целью сбора сведений. Также злоумышленники могут скомпрометировать сайты и добавить вредоносное содержимое, чтобы собирать у посетителей информацию о хостах. Информация о конфигурации клиентов также может быть найдена в интернете или других открытых источниках (например, в объявлениях о вакансиях, картах сети, отчетах об оценке, резюме или счетах-фактурах). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем компрометации цепочки поставок или эксплуатации внешних служб удаленного доступа).

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Для поиска шаблонов вредоносного содержимого, предназначенного для сбора информации о конфигурации клиентских устройств, с которых заходят посетители, можно использовать интернет-сканеры. Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что усложняет их обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников — например, на попытках получения первоначального доступа.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.