T1608: Размещение средств

Злоумышленники могут загружать, устанавливать или иным образом размещать программные средства, чтобы использовать их для атак. Для проведения операций злоумышленники могут разместить в подконтрольной им инфраструктуре собственные разработки или приобретенные средства. Эти средства могут быть размещены в инфраструктуре, которую злоумышленники ранее приобрели или арендовали либо скомпрометировали. Инструменты также могут быть размещены в веб-сервисах, например на GitHub или Pastebin, или в PaaS-среде, которая позволяет легко выделять ресурсы для приложений.

Размещение средств включает действия, которые могут помочь злоумышленнику на этапе первоначального доступа и после компрометации, например:

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

По возможности применяйте службы, которые могут помочь в отслеживании сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. Внимание можно сосредоточить на сопутствующих действиях, таких как использование веб-протоколов или [асимметричного шифрования].

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.