T1608: Размещение средств
Злоумышленники могут загружать, устанавливать или иным образом размещать программные средства, чтобы использовать их для атак. Для проведения операций злоумышленники могут разместить в подконтрольной им инфраструктуре собственные разработки или приобретенные средства. Эти средства могут быть размещены в инфраструктуре, которую злоумышленники ранее приобрели или арендовали либо скомпрометировали. Инструменты также могут быть размещены в веб-сервисах, например на GitHub или Pastebin, или в PaaS-среде, которая позволяет легко выделять ресурсы для приложений.
Размещение средств включает действия, которые могут помочь злоумышленнику на этапе первоначального доступа и после компрометации, например:
- размещение веб-ресурсов для теневой (drive-by) компрометации, происходящей при посещении пользователем веб-сайта;
- размещение веб-ресурсов, к которым ведет ссылка, используемая при целевом фишинге;
- загрузка вредоносного ПО или инструментов в расположение, доступное из сети жертвы, для передачи инструментов из внешней сети;
- установка ранее полученного сертификата SSL/TLS для шифрования трафика командного сервера (например, асимметричного шифрования веб-протоколов).
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | По возможности применяйте службы, которые могут помочь в отслеживании сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. Внимание можно сосредоточить на сопутствующих действиях, таких как использование веб-протоколов или [асимметричного шифрования]. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|